查看完整版本: 企业禁止使用QQ tm-申请加精

企业禁止使用QQ tm-申请加精

.cn .com.cn .net.cn .org.cn 所有cn域名3元一年
[url=http://www.googledns.cn]http://www.googledns.cn[/url]
设置要求
要求只屏蔽 QQ、TM，不能影响其他网络服务.
环境
本例为本人公司网络真实接入环境，情况如下：
TL-R641G 108M 无线宽带路由器（下文简称“路由器”）
网络岗 企业版
计算机一台（用于安装网络岗，DNS 服务器）
详细步骤
（1） 利用路由器封 UDP 端口
首先我们登陆路由器，安全设置--防火墙设置 （如图 1） 请按照下图设置好。
图 1
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_1.jpg[/img]
点击“IP 地址过滤”—“添加新条目”
在“局域网 IP 地址”中填入你的网段 如 192.168.1.1—192.168.1.255
“局域网端口”中保持为空
“广域网 IP 地址”也保持为空
“广域网端口”填“8000—8000”
协议选择 UDP
通过：禁止通过
状态：生效
记得点“保存” 嘿嘿……（如图 2）
图 2
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_2.jpg[/img]
按上面设置禁止 UDP 4000 端口通过（如图 3）
图 3
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_3.jpg[/img]
最后我们将看到下图的样子（如图 4）
图 4
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_4.jpg[/img]
到了这里，我们的路由器禁止UDP 4000 UDP 8000 端口了。
（2） 建立 DNS 服务器
至于如何添加 DNS 服务器我就不多说了，这里我们看看如何设置 DNS 实现泛解析
*.tencent.com
经分析，QQ 使用了多种登陆方式组合使用，确实很难封锁，现总结如下：
1、 QQ 先解析 7 个服务器的 IP，然后由 4000 端口向这 7 个 IP 的8000 端口发送 UDP
数据包，请求登陆。这 7 个服务器是：s z.tencent.com、s z2.tencent.com、s z3.tencent.com、
sz4.tencent.com、sz5.tencent.com、sz6.tencent.com、sz7.tencent.com。要注意的是，
腾讯公司完全可以使用 DNS 轮循技术，从几十个甚至上百个 IP 中随机返回一个。所以不能
简单地认为只有 7 个IP，这后面可能有一大堆 IP，而且 IP 数字可以不断增加。
2、 如果 UDP 方式都连接不上，QQ 改用TCP 方式发送登陆请求，目标端口为 80 和 443。
经分析，TCP 方式解析 4 个服务器的 IP：tcpconn.tencent.com、tcpconn2.tencent.com、
tcpconn3.tencent.com、tcpconn4.tencent.com。当这 4 个服务器无法登陆，则使用固定的
IP：
219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4
9.8 （如图 5）
图 5
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_5.jpg[/img]
这些固定的 IP 是写在 QQ 的安装文件中的，防止 DNS 解析不到时 QQ 无法登陆。TCP 方式的
连接非常棘手，由于需要允许企业内部用户正常访问其他网站，不可能封住 80/443
端口。
对策：从分析中可以看出，QQ 大部分登陆服务器使用***.tencent.com 这样的二级域名，只
要腾讯公司愿意，这些域名的 IP 可以随时变化，防不胜防。单纯地一个个找 IP 封住并不是
个好主意，太麻烦了。对付 DNS 轮循技术和大量 IP 最简单的办法是在自己服务器上建立 DNS
服务器，负责解析客户机的请求。当客户机查询***.tencent.com 的 IP 时，返回一个错误
的 IP。当查询其他的域名时，由 DNS 服务器去查询网上的其他 DNS 服务器，返回一个正确
的 IP。这样既屏蔽掉了某个域名又不影响其他的域名。剩下的事就简单多了，只需要对付
那几个固定的 IP，拒绝对这几个 IP 的访问就行了。
看了这么多原理，我们正式来设置 DNS 服务器
点开始—程序—管理工具-- DNS 就可以了（如图 6）
（如果没有就需要自己添加了，不要问我如何添加 DNS 服务器呀，小心打你，屁屁，嘿
嘿…………嘿嘿！·）
图 6
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_6.jpg[/img]
我们点 DNS 后会出现这个画面，我们点正向搜索区域按右键--新建区域
图 7
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_7.jpg[/img]
会弹出这个画面，（ 如图 8）
图 8
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_8.jpg[/img]
选标准主要区域（P) 点下一步我们输入 tencent.com 就可以了，下一步（如图 9）
图 9
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_9.jpg[/img]
出现这个画面，他会自动帮你取文件名为 tencent.com.dns 没关系，下一步
（如图 10)
图 10
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_10.jpg[/img]
图 11
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_11.jpg[/img]
图 12
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_12.jpg[/img]
到了这一步不要以为好了，这只是搞定了区域而已，还要增加主机
右击刚才我们建立的区域，选择“新建主机”（如图 13）
图 13
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_13.jpg[/img]
其中 IP 地址为 DNS 服务器的 IP 地址，必须为固定 IP，最后点“添加主机”弹出了成功创
建了主机记录[url=http://www.tencent.com]www.tencent.com[/url] 确定 呵呵，DNS 服务器马上就要建立好了。
然后重复新建主机 在名称中输入“*”，这是实现泛解析的关键一步（如图 14）
图 14
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_14.jpg[/img]
最后点“添加主机”弹出了成功创建了主机记录*.tencent.com 确定
我们需要解析一下，重新按 tencent.com 按右键，点“属性”
点“名称服务器”， 点中间那个“编辑”按钮，
在服务器名输入 [url=http://www.tencent.com]www.tencent.com[/url] 并按解析，I P 地址192.168.1.126 会自动跑到列表框中，
在服务器名输入*.tencent.com 并按解析，IP 地址 192.168.1.126 也会自动跑到列表框中
去，呵呵
全部确定，退回桌面，这回才是真正搞定 DNS 解析呢！！哈哈，对了，要记得重起你的爱机。
然后将地址改成你刚建立的 DNS 服务器的地址（我用的是 192.168.1.126）
图 15
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_15.jpg[/img]
开个 DOS 窗口 ，看到了吧，PING [url=http://www.tencent.com]www.tencent.com[/url] 的 IP 变成了 192.168.1.126
图 16
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_16.jpg[/img]
PING 任何一个字母也变成了 192.168.1.126，这就是我们要实现的泛解析
图 17
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_17.jpg[/img]
到了这里，我们只要利用《网络岗》禁止 443 端口和几个登陆的 IP 就可以了。
219.133.38.132;218.17.209.23;218.17.209.42;218.18.95.165;219.133.49.6;219.133.4
9.8
测试
看到没有？哈哈……，连接服务器超时，请检查网络！测试通过！
如图 18
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_18.jpg[/img]

注：附件中是PDF文档，坛友自由下载.
PDF档作于2005年，历时好多天，在XP，WIN2000下共同完成
mail:sale@googledns.cn

[color=teal]
[/color]

[color=Teal]
[/color]附件[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_19.gif[/img][url=http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_1.rar]企业禁止使用QQ.part1.rar[/url][i](500 KB)[/i]2006-12-25 15:44, 下载次数: 299
企业禁止使用QQ.part1.rar
[img]http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_19.gif[/img][url=http://www.love0452.com/download.php?ml=0808&file=/42759_20080812101430_2.rar]企业禁止使用QQ.part2.rar[/url][i](224.89 KB)[/i]2006-12-25 15:44, 下载次数: 267
企业禁止使用QQ.part2.rar

别让好贴沉了 :132;

给楼主提个问题:
内网机器使用代理,这样还能屏蔽成功不?

引用:[quote]原帖由 [i]开荒[/i] 于 2006-12-25 18:14 发表
给楼主提个问题:
内网机器使用代理,这样还能屏蔽成功不? [/quote]
这个没有做过，希望你去实践一下！

帖子不错....顶起,同楼上问...代理的问题

有人找80;8080端口的代理
我只能在防火墙里看即时流量,发现一个封一个,有没有谁知道更好的方法啊?

楼主的方法虽然好，但建立DNS服务器这一步麻烦了点，还有一个方法就是直接修改操作系统中的hosts(C:\%root%\system32\drivers\etc)文件，找到后用记事本打开会看到有一条127.0.0.1 localhost，在下面加一条 123.99.99.99 tencent.com就可以了，这个IP随意填只要不是真的就行，原理和楼主的一样的让tencent无法正常解析，其它想禁方访问的网站也可以用这个方法；这个方法的缺点是任何人都可以修改这个文件，但是简单呵呵。

[color=Teal]
[/color]

对了,如果我在公司内部建立一个代理服务器

所有人设置了代理才可以上网

外网代理就不可以用了吧?

不喜欢这样啊

显然，这个方法太麻烦了一点，呵呵引用:[quote]原帖由 [i]coldrain[/i] 于 2006-12-26 09:00 发表
楼主的方法虽然好，但建立DNS服务器这一步麻烦了点，还有一个方法就是直接修改操作系统中的hosts(C:\%root%\system32\drivers\etc)文件，找到后用记事本打开会看到有一条127.0.0.1 localhost，在下面加一条 123 ... [/quote]

外网代理同样可以用。引用:[quote]原帖由 [i]chongzi168[/i] 于 2006-12-26 09:06 发表
对了,如果我在公司内部建立一个代理服务器

所有人设置了代理才可以上网

外网代理就不可以用了吧? [/quote]

关端口不可以吗?!

直接用P2P就可以实现吧 不用这么麻烦吧

不错，好帖！！！！！学到东西了

引用:[quote]原帖由 <i>chongzi168</i> 于 2006-12-26 08:54 发表<br />
帖子不错....顶起,同楼上问...代理的问题<br />
<br />
有人找80;8080端口的代理<br />
我只能在防火墙里看即时流量,发现一个封一个,有没有谁知道更好的方法啊? [/quote]
<br />
这也是个办法，但是比较耗时间。

靠 这个对我来说还是没用滴～