允许上网,禁止上Q两不误"用后感受和改进.感谢TIM97兄
用了,允许上网,禁止上Q两不误.这个贴子.感觉非常好用.感谢tim973兄.在使用过程中,发现把自已也给禁了.后来摸索了一下.再加了一个地址列表.就是把不禁止的IP加到这个地址列表.除了这个地址列表内的IP才加到黑名单。后又发现很多用户跑过来问我为什么断网了.不胜其烦.后又想到公司有个闲置的WEB服务器.索性建立一个页面.在路由里把黑名单里的IP如打开网页就自动转向到这个页面告是什么原因造成断网. :loveliness: 谢谢捧场,隐藏部分就贴在在底下了其实也没有什么技术含量,隐藏了是不想有些新人受误导直接套用罢了。
不修改就直接套用不一定可以的,比如把这些规则都放在一条开放所有权限的规则下面
一、标注主要服务器地址
/ ip firewall address-list
add list=QQserver address=219.133.0.0/16 comment="" disabled=no
add list=QQserver address=58.61.32.0/24 comment="" disabled=no
add list=QQserver address=58.60.14.0/24 comment="" disabled=no
add list=QQserver address=218.6.2.0/24 comment="" disabled=no
add list=QQserver address=58.60.9.0/24 comment="" disabled=no
add list=QQserver address=58.60.15.0/24 comment="" disabled=no
add list=QQserver address=58.161.164.0/22 comment="" disabled=no
add list=QQserver address=58.251.60.0/24 comment="" disabled=no
add list=QQserver address=58.251.61.0/24 comment="" disabled=no
add list=QQserver address=58.251.62.0/24 comment="" disabled=no
add list=QQserver address=58.251.63.0/24 comment="" disabled=no
add list=qqgame address=61.172.204.148-61.172.204.215 comment="" disabled=no
add list=qqgame address=218.18.95.153 comment="" disabled=no
add list=qqgame address=60.28.232.12 comment="" disabled=no
add list=qqgame address=219.133.41.152 comment="" disabled=no
add list=qqgame address=210.22.23.197 comment="" disabled=no
add list=qqgame address=202.205.3.202 comment="" disabled=no
add list=qqgame address=202.104.241.19 comment="" disabled=no
add list=qqgame address=121.14.77.57-121.14.77.126 comment="" disabled=no
add list=qqgame address=172.16.13.2 comment="" disabled=no
add list=qqgame address=218.17.209.23 comment="" disabled=no
add list=qqgame address=58.61.166.136 comment="" disabled=no
add list=qqgame address=58.60.11.141-58.60.11.212 comment="" disabled=no
二、建立“黑白名单制度”
以下是有访问主要的QQ服务器的列入黑名单
/ ip firewall mangle
add chain=prerouting dst-address-list=QQserver action=add-src-to-address-list \
address-list=dispc address-list-timeout=5m comment="" disabled=no
add chain=prerouting dst-address-list=qqgame action=add-src-to-address-list \
address-list=dispc address-list-timeout=5m comment="" disabled=no
以下是把邮件服务器列为“白名单”,主要是有的邮箱不是单位邮箱也不能设成outlook收发件。如不需的可不用。
add chain=prerouting protocol=tcp dst-port=110 action=add-dst-to-address-list \
address-list=mail address-list-timeout=2m comment="" disabled=no
add chain=prerouting protocol=tcp dst-port=25 action=add-dst-to-address-list \
address-list=mail address-list-timeout=2m comment="" disabled=no
三、建立“黑名单”规则
/ ip firewall filter
add chain=forward protocol=tcp src-address-list=!dispc action=accept 开放非“黑名单”
如不需要下面3条可不用
add chain=forward protocol=tcp dst-port=25 src-address-list=dispc action=accept开放发件端口
add chain=forward protocol=tcp dst-port=110 src-address-list=dispc action=accept 开放收件端口
add chain=forward protocol=tcp src-address-list=dispc dst-address-list=mail action=accept 开放邮件服务器
“黑名单”规则
add chain=forward src-address-list=dispc dst-address-list=!mail action=drop
“黑名单”除“白明单邮件服务器”外全禁止
当登陆QQ的时候,因为主要服务器没禁止,所以一般会向服务器发数据,
一但向主要QQ服务器发送数据就会被列入“黑名单”5分钟。
“黑名单”在这只能收发邮件,QQ自然登陆不了,更狠一点的可以将黑名单设成什么都不能访问,而且时间更长一点
只要不使用QQ,上网什么的照原来的设定,一但登陆就关到黑名单
为了能上网,员工也就只好放弃QQ了。 这个方法好。人性化多了。 发现我的那个贴子也被删掉了,
把这个顶上来,不重发了。 我是菜鸟,这个怎么加到规则中去 这个东西好,收藏。。 学习ing 占个位,,学习:) 正需要,学习中
顶下楼主:lol 很不错 ,, 好东西 我顶!!!! 不需要单独用一台机子做WEB服务器,直接用ROS就可以做这个页面了 L7禁QQ不是更直接! 好东东啊,楼主,有谁测试过?!~~~~~~~ 非常不错我顶
页:
[1]
2