如何设置防火墙禁用QQ、MSN等？

现在要求禁止内网用户使用QQ、联众等聊天和网游软件的呼声越来越高。不久前，售后工程师办理了这样一笔业务。工程师在治疗过程中发现了一些解决方法，现做一个总结，希望能为同行提供参考。下面我们来逐一分析这些应用。
首先，屏蔽QQ连接

新版QQ不仅可以通过UDP登录服务器，还可以通过TCP登录服务器。QQ在连接时首先向以下七个服务器的端口8000发送udp数据包。

sz.tencent.com·61.144.238.145

sz2.tencent.com·61.144.238.146

sz3.tencent.com·202.104.129.251

sz4.tencent.com·202.104.129.254

sz5.tencent.com·61.141.194.203

sz6.tencent.com·202.104.129.252

sz7.tencent.com·202.104.129.253

阻断8000端口连接后，发现QQ还会通过udp的8001端口和tcp的8000、8001端口连接。由于这些端口目前仅由QQ使用，因此可以根据端口制定阻止规则。

用防火墙屏蔽上述端口的数据包后，发现QQ还会通过tcp端口80和443连接。如果对这两个端口做屏蔽规则，会影响用户正常上网，所以只能用服务器的ip地址作为规则。通过实验，我们发现以下QQ服务器可以通过端口80和443建立连接:

218.17.217.106

219.133.40.95

219.133.40.97 ,

219.133.40.157 ,

219.133.40.177 ,

219.133.40.73 ,

219.133.40.189

218.18.95.153

218.17.209.23

202.104.129.253

218.17.209.42

对这些IP做了屏蔽规则后，QQ基本上已经无法登录了。

在实验中我们还发现，QQ安装目录下的Config.db文件，记录了QQ服务器的地址，与我们上面发现的完全一致。

所以在使用防火墙阻止用户使用QQ上网时，除了阻断tcp和udp的8000和8001端口外，还需要阻断与QQ服务器的连接。下面列出了在实验中找到的和在互联网上找到的QQ服务器IP:

61.141.194.203

61.144.238.145/146/149/155

61.172.249.135

65.54.229.253

202.96.170.164

202.104.129.151/251/252/253/254

211.157.38.38

218.17.209.23/42

218.17.217.106

218.18.95.153/165

219.133.40.21/73/89/90/92/95/97/157/177/189(该网段有很多服务器地址，所以考虑屏蔽整个网段)。

虽然以上方法可以阻断QQ连接，但如果腾讯增加新的QQ服务器，QQ仍然可以登录。此外，借助NEC E-BORDER等第三方代理软件，支持匿名的Socks5代理仍有可能绕过并登录使用QQ。

第二，屏蔽MSN的连接

除了常规的1863端口，MSN的连接还将使用7001和80端口。因为这两个端口关系到其他网络服务的应用，所以只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接来满足用户的要求。

实验中找到的服务器IP如下所示:

64.4.12.200/201

65.54.194.117

207.46.68.23

207.46.104.20

207.46.107.14/125

207.46.110.27/28/254

经查询，这些服务器IP均来自北美。

同样，如果微软添加了新的MSN服务器或者用户使用了代理，他们仍然可以登录MSN。

第三，屏蔽联众的连接

屏蔽联众的连接相对容易。当客户端连接到服务器时，它将首先与服务器的端口2000(61 . 55 . 138 . 219:2000)建立连接。建立连接后，将使用服务器的端口1007、2001、2002和3015。

实验中只有端口2000的数据包被阻塞，客户端无法连接到服务器。

第四，屏蔽可乐吧的连接。

在连接服务器的时候，可乐吧的客户端要先打开可乐吧的主页(www.kele8.com)，然后通过主页进入游戏厅，所以只要定义一个URL规则，过滤地址为“*kele8*”。

以上内容来自互联网，不代表本站全部观点！欢迎关注我们:zhujipindao。com