局域网如何封杀QQ游戏禁止QQ直播封堵酷狗音乐等网络应用,有很多的解决方法,这里介绍三种方案,重点介绍通过路由器硬件来控制员工上网行为的方法:
方案一:当然首选局域网管理软件,比如大名鼎鼎的成千上万的网络管理员使用的上网行为管理工具软件:ANYVIEW(网络警)网络监控软件(www.amoisoft.com)。
方案二:是采用内网监控方式直接杀掉进程,这个方法最彻底有效,但由于需要安装工作站程序有些用户不方便;ANYVIEW(网络警)网络监控软件也有内网监控的这个功能,该内网监控模块还可以QQ聊天内容监控和屏幕监控等;有兴趣的网友哦可以自己去安装研究下。
方案三:就是可以通过设置路由器或可网管交换机来实现,因为企事业单位往往遭遇投资的瓶颈,如果单位在这方面预算较少,或者有较高水平的网络管理技术人员,也可以通过一些网络方面的设置达到封堵QQ游戏的目的。本文试列举几种简单易行的方法,与众网友共同探讨。
一、利用路由器封端口:禁止某些端口实现如下:
Access-list 102 deny tcp any any range 6881 6890 access-list 102 deny tcp any range 6881 6890 any access-list 102 permit ip any any
下面是几种即时通信软件及P2P下载软件的默认端口,仅供参考。qq直播:端口 13000-14000的udp 端口;迅雷:端口3077 3076 ;电驴:端口4662,4661,4242 ;酷狗:端口:7000,3318;比特精灵:端口16881;PPlive网络电视:端口UDP 4004,TCP 8008。(端口如果没有说明,均为tcp);这种方法有其局限性,一是现在有的bt软件,封锁后会自动改端口;二是某些BT下载软件的announce端口用8000、8080这样的其他服务端口,如果封锁,其他网络应用就有可能不正常。
二、利用IP过滤规则
利用添加IP规则,拦截以下IP的端口,实现禁止办公网络内禁止员工上网聊天。以下是常用的聊天工具的服务器IP以及端口,QQ 所使用的Port: TCP 8000---8001;443;UDP 8000―1429;(需要注意的是,随着即时通信软件的发展,各提供商可能会改变一下IP。) QQ所用到的IP地址有:
218.17.209.23 ; 218.17.217.106; 218.18.95.135; 218.18.95.153 ;218.18.95.163 218.18.95.165; 218.18.95.219 ; 218.18.95.220; 218.18.95.221 ;218.18.95.227 218.18.95.181 ; 218.18.95.182 ;218.18.95.183 ;218.18.95.188 ;218.18.95.189 218.18.95.162 ; 218.17.217.106; 211.162.63.24; 219.133.38.9 61.144.238.15; 61.172.249.133; 61.172.249.134
MSN 所用到的地址有:(Port:TCP 1863) 207.46.106.2; 207.46.106.30; 207.46.110.100; 207.46.107.23; 207.46.106.12; 207.46.107.65; 207.46.78.94; 207.68.172.246; 207.46.104.20; 207.46.106.32; 207.46.108.20; 207.46.107.24; 207.46.107.86; 207.46.106.197; 207.46.106.42 ; 207.46.104.20 ;207.46.106.19 ;207.46.110.254 65.54.194.117 ; 64.4.33.7; 64.4.32.7; 65.54.183.195; 65.54.183.192; 65.54.194.118;203.89.193.30; 207.46.110.26 ; 207.46.110.24 ; 207.46.110.18 210.51.190.110;
三、用NBAR网络应用识别
NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.以下是以思科路由器为例的配置过程:
#show runn 得到关于BT的部分是: class-map match-all bittorrent match protocol bittorrent ! policy-map bittorrent-policy class bittorrent drop ! interface GigabitEthernet0/2 description CONNECT INSIDE ip address 192.168.168.1 255.255.255.252 secondary ip address 192.168.21.1 255.255.255.0 ip nat inside service-policy input bittorrent-policy service-policy output bittorrent-policy duplex full speed 1000 media-type rj45 no negotiation auto
对于eMule,最新version2.0的包括了emule同样可以,这样的话Emule也能K掉了。:
ip nbar pdlm bittorrent.pdlm ip nbar pdlm eDonkey.pdlm class-map match-any bittorrent match protocol bittorrent match protocol edonkey ! ! policy-map bittorrent-policy class bittorrent drop !
总结:通过以上方法讨论我们知道了三个可选的方法对局域网封杀掉QQ游戏、禁止QQ直播、封堵酷狗音乐等网络应用,其他的更多应用也可以类似方法解决,至于对应的网络端口服务和协议,可通过IRIS或SINFFER PRO等软件来分析得到,这里就不再一一详述,值得强调的是ANYVIEW(网络警)网络监控软件包含了上网监控和内网监控,即可通过上网监控的端口服务协议来控制,也可以通过内网监控的进程来控制,是值得广大网络管理人员采用的常用工具软件;而本文介绍的是通过路由器方式限制,但其实通过一些三层交换机也可以实现类似的封杀或是通过IPS或网络火墙设备也可以做到的,可以举一反三运用。
四、路由器封QQ的别样方案:
鉴于并非所有局域网的连接方式都是代理式的(实际上,几乎稍具规模的局域网都不是代理式的),所以,找到一套通过路由器端控制的方法是比较切实需要的。不少单位(如我们)都是在不同网段使用较低级别的路由器来连接网络,SOHO级别的路由器允许设置的限制规则条数均不多带来许多的困难。以下是我本人的方案,基本的思路是:1、常用端口封堵;2、重点服务器IP封堵;3、流入、流出数据封堵结合。现在的运作证明,没有人能突破这个封锁。
一、域名过滤:对所有进出路由器的数据包中,包含下列域名的数据均作丢弃处理:QQ.COM TENCENT.COM 二、报文过滤:流出过滤:(使用8条规则即可)
1、所有内网IP的UDP4001-4009端口发出的报文全部丢弃。 2、所有内网IP的8000端口发出的报文全部丢弃。 3、所有目标IP为218.18.95.220的报文全部丢弃。 4、所有目标IP为61.144.238.145的报文全部丢弃。 5、所有目标IP为61.141.194.227的报文全部丢弃。 6、所有目标IP为218.17.209.23的报文全部丢弃。 7、所有目标IP为218.18.95.153的报文全部丢弃。 8、所有目标IP为218.18.75.171的报文全部丢弃。
流入过滤:(使用6条规则即可) 1、所有从外部发往内部网络中目标端口为UDP4000-4009的报文全部丢弃。 2、所有从外部发往内部网络中目标端口为433的报文全部丢弃。 3、所有从外部发往内部网络中目标端口为UDP8000的报文全部丢弃。 4、所有从218.18.95.220(端口80)发往内网端口80的报文全部丢弃。 5、所有从218.18.95.220(端口443)发往内网端口443的报文全部丢弃。
不过这种操作实在过于复杂,并且灵活性不足!AnyView(网络警)网络监控软件(www.amoisoft.com)一键搞定了,干嘛这么累人啊!!!
|