交流 › Linux、BSD、Unix › 禁止qq问题

bingdao 发表于 2005-7-3 22:03:10

想让某一IP可以上QQ，其他的不允许上，怎样办？
iptables -t mangle -A POSTROUTING -s ! 192.168.0.11 -m layer7 --l7proto qq -j DROP
语句似乎不行，仍旧禁止全部上qq

心想事成 发表于 2005-7-3 22:07:39

加到转发链中呢？

bingdao 发表于 2005-7-4 09:12:48

QUOTE(wsgtrsys @ Jul 3 2005, 10:07 PM)
加到转发链中呢？
52925


是
iptables -t mangle -I FORWARD -s ! 192.168.0.11 -m layer7 --l7proto qq -j DROP
还是
iptables -I FORWARD -s ! 192.168.0.11 -m layer7 --l7proto qq -j DROP

反正都不行！

i138 发表于 2005-7-6 10:16:42

为何不试试，全部禁止QQ，然后再开放部分IP可上QQ

tgy0234 发表于 2005-7-12 13:20:16

先允许,再禁止就可以了,写的顺序先后很重要

开心小哥 发表于 2005-7-20 13:16:13

我这里不知道怎么回事，刚开始的时候还禁止得掉，现在就禁不掉了

心想事成 发表于 2005-8-23 23:33:30

今天晚上做了个试验,还是要将结果写出来.就是怎样用layer7封锁指定ip的问题,layer7只介绍封锁全部网络的命令,即:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -j DROP

但是如果我要阻止192.168.0.5这个IP使用qq呢,经多次试验,要用以下两个命令才行(多数情况下第一命令就可以了,如果没有效果,应现时使用两个命令):

iptables -t mangle -A PREROUTING -s 192.168.0.5/32 -m layer7 --l7proto qq -j DROP
iptables -t mangle -A POSTROUTING -d 192.168.0.5/32 -m layer7 --l7proto qq -j DROP

阻止其它的协议也可以仿照这个......

蓝雨紫雨 发表于 2005-8-24 15:55:29

请问要是除了192.168.0.253可以上QQ

请问要是除了192.168.0.253可以上QQ别的机器都禁止QQ的命令应该是什么呢？
有时候需要用QQ传些文件

一个IP一条的封工作量太大

心想事成 发表于 2005-8-24 18:16:54

昨天通过邮件列表问了layer7的开发者matthew,他对这个问题的答案是要注意iptables命令中的匹配次序的问题.

> iptables -t mangle -A POSTROUTING -s 192.168.0.5/32 -m layer7 --l7proto
> bittorrent -j DROP


I believe that your first command will not allow l7-filter to see packets
with the _destination_ 192.168.0.5, because they don't match the first
rule ("-s 192.168.0.5/32").

I'm not completely sure how iptables/Netfilter does this.It may be
sufficient to reverse the order of the rules:

iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -s 192.168.0.5/32

or you may need another rule to match the returning traffic:

iptables -t mangle -A POSTROUTING -s 192.168.0.5 -m layer7 --l7proto bittorrent
iptables -t mangle -A POSTROUTING -d 192.168.0.5 -m layer7 --l7proto bittorrent

-matthew


显而易见,
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -s 192.168.0.5/32 -j DROP
和
iptables -t mangle -A POSTROUTING -s 192.168.0.5/32 -m layer7 --l7proto bittorrent -j DROP

的效果是不一样的.

心想事成 发表于 2005-8-24 18:20:51

综上所述,禁止一个IP使用qq的完美命令是:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s 192.168.0.5/32 -j DROP
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -d 192.168.0.5/32 -j DROP

如果想除了192.168.0.5可以上qq,其余全部禁止,可以使用以下命令:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s ! 192.168.0.5/32 -j DROP
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -d ! 192.168.0.5/32 -j DROP

心想事成 发表于 2005-8-24 18:24:02

另:
最近我的qq2005的传送协议有微小的变动,原来的模板也随之需要改动,大家需要编辑/etc/l7-protocols/qq.pat这个文件,原文件的内容是:
qq
^.?\x02.+\x03$
变更为:
qq
^.?.?\x02.+\x03$
方可完美阻止QQ

蓝雨紫雨 发表于 2005-8-24 20:25:22

回复 #11 想得太美 的帖子

非常感谢

蓝雨紫雨 发表于 2005-8-24 20:39:58

用下面的两条命令还是都上不去啊，？？？？？？？

综上所述,禁止一个IP使用qq的完美命令是:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s 192.168.0.5/32 -j DROP
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -d 192.168.0.5/32 -j DROP

如果想除了192.168.0.5可以上qq,其余全部禁止,可以使用以下命令:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s ! 192.168.0.5/32 -j DROP
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -d ! 192.168.0.5/32 -j DROP

用下面的两条命令都上不去啊，？？？？？？？

蓝雨紫雨 发表于 2005-8-24 22:41:08

使用下面的条命令都上不去啊，？？？？？？？

iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s ! 192.168.0.5/32 -j DROP
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -d ! 192.168.0.5/32 -j DROP

全部网段都上不去QQ

心想事成 发表于 2005-8-25 08:06:08

那只用

iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -s ! 192.168.0.5/32 -j DROP
这一句呢？

查看完整版本: 禁止qq问题