交流 › RouterOS › 史上最强封QQ和TM 完全解决办法。可以要求 加精！

gzeddie 发表于 2006-6-5 15:11:48

史上最强封QQ和TM 完全解决办法。可以要求 加精！

注1： src-address-list=eddie 中的 eddie 是这样设置的：
    在ip - rirewall - address Lists 里面加的(这里面加IP段要灵活很多)。
/ ip firewall address-list
add list=eddie address=192.168.1.2-192.168.1.255 comment="" disabled=yes

/ ip firewall filter
7   ;;; 先允许DNS
chain=forward protocol=udp src-port=0-65535 dst-port=53
src-address-list=eddie action=accept

;;; 封TM的 443 端口
8   chain=forward dst-address=219.133.0.0-219.134.0.0 protocol=tcp
src-port=0-65535 dst-port=443 src-address-list=eddie action=drop

9   ;;; 允许MSN
chain=forward content=msn src-address-list=eddie action=accept

;;; 允许MSN
10   chain=forward protocol=tcp src-port=0-65535 dst-port=1863
src-address-list=eddie action=accept

;;; 允许MSN
11   chain=forward protocol=tcp src-port=0-65535 dst-port=443
src-address-list=eddie action=accept

;;; 允许指定网址
12   chain=forward content=sina src-address-list=eddie action=accept

;;; 封QQ网
13   chain=forward protocol=tcp src-port=0-65535 dst-port=80 content=qq.com
src-address-list=eddie action=drop

;;; 封QQ网
14   chain=forward protocol=tcp src-port=0-65535 dst-port=80
content=tencent.com src-address-list=eddie action=drop

;;; 允许网址带有 COM 的网站 （.cn 等网址在此条后面加就可以了）
15   chain=forward protocol=tcp src-port=0-65535 dst-port=80 content=com
src-address-list=eddie action=accept

;;; 封带有 . 的网址（此条规则基本上把所有网址封杀了。
      所以新增允许的规则一定要放在这条前面）。
16   chain=forward protocol=tcp src-port=0-65535 dst-port=80 content=.
src-address-list=eddie action=drop

;;; 封QQ端口
17   chain=forward protocol=tcp src-port=0-65535 dst-port=8000-8010
src-address-list=eddie action=drop

;;; 封QQ端口
18   chain=forward protocol=udp src-port=0-65535 dst-port=8000-8010
src-address-list=eddie action=drop

;;; 封QQ端口
19   chain=forward protocol=udp src-port=4000-4010 dst-port=0-65535
src-address-list=eddie action=drop

;;; 封QQ端口
20   chain=forward protocol=tcp src-port=4000-4010 dst-port=0-65535
src-address-list=eddie action=drop

;;; 允许80端口 （这条一定要要，否则什么网址都无法打开）
21   chain=forward protocol=tcp src-port=0-65535 dst-port=80
src-address-list=eddie action=accept

;;; 封TCP所有端口
22   chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535
src-address-list=eddie action=drop

;;; 封UDP所有端口
23   chain=forward protocol=udp src-port=0-65535 dst-port=0-65535
src-address-list=eddie action=drop

;;; 封所有端口
24   chain=forward src-address-list=eddie action=drop

;;; 封所有出口
25   chain=forward out-interface=PPPOE src-address-list=eddie action=drop

注：先后顺序不可以错。否则规则无效。
经我测试 如果TM服务器改了的话 只需要 把第8点的IP段改变一下就可以啦。

soft_route 发表于 2006-6-5 16:34:57

想完全封死QQ，现阶段基本没可能。

专卖精品 发表于 2006-6-5 16:36:12

个人觉得有意义吗？

1、如果是网吧，客户机都是自己设置的，不安装QQ就行了

2、如果是共享上网，你没有道理不让别人用QQ

3、如果是公司，QQ应该是联系客户的方法，如果要真的限制，应该从管理上去做，比如设定PPPOE服务器，指定什么人可以在什么时间上网！比如，普通文员就没有必要给他们账号上网了，但能浏览网内的信息、打印材料等等，其他的业务、经理、采购等职位，QQ、MSN都是联系客户的好方法！

zzyzzyboy 发表于 2006-6-5 17:45:13

用SOKET 5或者HTTP的代理还是可以用的，严格来说封QQ没可能

gzeddie 发表于 2006-6-5 18:13:13

SOKET 5或者HTTP 一样可以封。大多数MSN都是办公用。QQ少

yeung 发表于 2006-6-30 20:21:08

回复 #5 gzeddie 的帖子

9   ;;; 允许MSN
chain=forward content=msn src-address-list=eddie action=accept

这个 如果在winbox厘 面应该怎么设置啊？
src-address-list=eddie   这个是什么意思 啊？＝eddie 是什么？

sak2000 发表于 2006-7-1 05:15:39

ISA可以办到，ROS目前版本不可能办到

zzyzzyboy 发表于 2006-7-1 08:37:48

VPN我拨到另外一个VPN SERVER上,你啥也防不住
VPN再来个强加密 想过滤敏感数据都不OK,嘿嘿
你把VPN也封了吧
你封完了,我再告诉你我还可以上

ed_wqan 发表于 2006-9-18 23:55:19

封完后,从网页打不开163邮箱

host2318 发表于 2006-9-22 05:00:15

你这个是有问题的防火墙 列表把？

所有拒绝的规则要在所有允许规则的下面。放在拒绝规则下面的允许根本都不生效。自己实验清楚了？

xiaxue_203 发表于 2006-9-22 19:33:50

有和更强的方法：把路由器关了．

longjun88 发表于 2009-2-27 05:51:32

非常好，经过测试，成功了哈哈
谢谢

情灭缘尽 发表于 2009-2-27 11:28:58

买个手机，GRPS挂qq，包月也没几个钱，想玩，谁能阻止的了？

addminlinux 发表于 2009-2-27 11:33:54

能
当然能

把腾讯给封了

查看完整版本: 史上最强封QQ和TM 完全解决办法。可以要求 加精！