无线路由器如何限制内网电脑使用QQ

无线路由器如何限制内网电脑使用QQ

上一篇 / 下一篇  2008-02-27 22:06:18 / 个人分类：无线路由器

查看( 28 ) / 评论( 0 ) / 评分( 0 / 0 )

QQ客户端登录的时候使用的外网端口号有UDP端口号8000，TCP端口号80和443三个端口，一般来说不可能直接把80端口也屏蔽掉，除非您不想浏览网页。所以我们的处理思路中是使用域名过滤、IP过滤这两种技术结合起来。考虑到屏蔽8000和443端口对一般用户影响不大，我们就直接把它们屏蔽掉了，对于使用80端口的QQ服务器，只能通过在广域中地址栏中过滤QQ服务器IP地址的方法来屏蔽。

这次我们测试的QQ版本有2004、2005两个版本，由于目前腾迅公司已经不允许2003版本QQ客户端的登录，所以实验中没有使用它。

通过对QQ连接信息的查看，目前QQ能够登录的服务器的域名信息如下：

UDP登录服务器：

∙ sz.tencent.com

∙ sz2.tencent.com

∙ sz3.tencent.com

∙ sz4.tencent.com

∙ sz5.tencent.com

∙ sz6.tencent.com

∙ sz7.tencent.com

∙ sz8.tencent.com

∙ sz9.tencent.com

TCP登录服务器

∙ tcpconn.tencent.com

∙ tcpconn2.tencent.com

∙ tcpconn3.tencent.com

∙ tcpconn4.tencent.com

∙ tcpconn5.tencent.com

∙ tcpconn6.tencent.com

所以我们在路由器作了如下限制：

图1防火墙设置

确认防火墙、IP过滤、域名过滤都开启着。我们再看域名过滤的具体设置：

图2域名过滤设置

通过上面的设置我们可以把所有和QQ有关的域名请求都予以过滤。

我们再看看IP过滤的设置：

图3IP地址过滤设置

上图3是“IP地址过滤”页面的抓图，前面两条先屏蔽了8000和443两个端口，剩下的80端口的服务器只能通过过滤服务器IP地址的方法屏蔽掉。下面的三条IP地址过滤规则的作用就是将发往219.133.38.29、219.133.38.30、219.133.38.232这三个QQ服务器的数据包禁止掉了！那么这三个服务器的IP地址是怎样得来的呢？使用80端口的QQ服务器有多少呢？它们的IP地址又都是多少呢？后面会介绍如何查看QQ登录时使用的服务器IP地址。当我们发现了新的可以登录的服务器IP地址，需要自己再继续添加过滤条目。

下面说明一下上图中这三个QQ服务器的地址是怎么得来的？

我们按照图2中所示的方法使用“域名过滤”封锁掉一部分QQ服务器，接着如图3所示，在“IP地址过滤”页面最上面的两条规则中“禁用443和8000端口”后，发现内网电脑还是可以登录QQ的，那说明连接的服务器使用的是80端口提供服务，网络管理员可以在QQ2005的“登录设置”页面查看当前客户端登录的QQ服务器的IP地址，过程就这么简单。

试验中找到的三个服务器的IP地址（219.133.38.29、219.133.38.30、219.133.38.232）都被封锁了，但是QQ2005又一次成功登录，于是继续打开QQ2005的“登录设置”页面如下图：

图4QQ登录设置界面

从图4中可以看到，QQ2005又连接了新的服务器，IP地址是219.133.49.5 ，连接的是80端口，没有关系，把这个新发现的服务器IP地址也加入到“IP地址过滤”中去就可以了。就这样找到一个新的服务器IP地址，添加到“IP地址过滤”中把它禁止掉！

有些用户会担心，“IP地址过滤”规则的可设定条目数是有限的，可设定条目数不够怎么办？不用担心，因为我司的宽带路由器“IP地址过滤”条目在设置的时候，“局域网IP地址/广域网IP地址”这两个参数都是可以输入一段IP地址的，比如我们上面发现的四个服务器IP地址可以合并为下面的两个条目：

219.133.38.0-219.133.38.255

219.133.49.0-219.133.49.255

或者还可以把上面的两段地址继续合并为下面更大的一段：

219.133.38.0-219.133.49.255

通过这样设置IP地址段，足够将所有的使用80端口的QQ服务器IP地址囊括！需要做的只是下面的操作循环：使用QQ2005成功登录——>发现新的服务器IP地址——>设定“IP地址过滤”规则禁止，重复直到QQ客户端再也不能连接到服务器。

上面的操作已经可以屏蔽QQ登录，如果您发现在这样操作后出现了一些异常情况，请继续阅读下面的内容：

当我们合并了QQ服务器IP地址并成段过滤掉以后，会不会把一些正常的不是QQ服务器的IP地址也封锁掉了？这个不用太担心，我们屏蔽的地址段和互联网可用的地址段相比来说，只属于非常小的一段，发生这种情况的可能性极小，如果万一真的发生了“需要连接的目的IP地址也被封锁”这种情况，可以简单把我们上面限制的地址段拆分成多段，不包括我们需要访问的IP地址就可以了。

我们在上面的指导中默认是把所有的443端口的数据包都禁止掉了，也就是不论连接那个服务器，只要目的端口是443端口一概禁止。如果您需要一些443端口的访问，可以在屏蔽443端口条目的“广域网IP地址”这一栏，加入IP地址段限制，如219.133.38.0-219.133.49.255试试，或者采用分段的方法，将自己需要连接的那个IP地址不包括即可。

补充：因为MSN运行过程也会使用到443端口，所以对443端口的封锁会导致MSN不能正常使用，如果对内网的上网权限QQ和MSN要区别开来的话，在上面的配置过程当中可以不封锁443端口，同样可以对QQ有效封锁。
上面的配置是结合“端口”、“域名”和“服务器IP”综合封锁，还有一种简单的思路就是“将发往QQ服务器IP的数据包全部封锁”，这样同样可以封锁QQ ，配置思路比较简单。

你的路由器可不可以做ACL(access list control)控制呢?如果可以的话把腾讯的IP封了就行啦!

ip access-list extended qq
deny   udp any any eq 8000 log
deny   tcp any any eq 8000 log
deny   tcp any any eq 443 log
deny   ip any 218.17.0.0 0.0.255.255 log
deny   ip any 218.18.0.0 0.0.255.255 log
deny   ip any 219.133.0.0 0.0.255.255 log
permit ip any any

219.133.48.103 Block QQ Server IP
219.133.60.173 Block QQ Server IP
219.133.49.211 Block QQ Server IP
219.133.40.157 Block QQ Server IP
219.133.51.160 Block QQ Server IP
219.133.40.130 Block QQ Server IP
219.133.38.230 Block QQ Server IP
219.133.38.5 Block QQ Server IP
218.17.209.42 Block QQ Server IP
210.22.23.227 Block QQ Server IP
58.61.33.32 Block QQ Server IP
58.61.33.37 Block QQ Server IP
58.61.33.36 Block QQ Server IP
58.61.33.197 Block QQ Server IP
58.60.14.45 Block QQ Server IP
58.61.33.40 Block QQ Server IP
61.144.238.149 Block QQ Server IP
58.60.9.58 Block QQ Server IP
61.172.240.43 Block QQ Server IP

   2008年1月15日，编程浪子

    现在要求禁止内网用户使用QQ,MSN、联众游戏等聊天和网游软件的需求逐渐增多，不久前售后工程师就处理了一项此类业务。工程师在处理过程中发现了一些解决方法，现在对禁用QQ,禁用MSN,禁用联众游戏进行一下总结，希望能供各位同事参考。下面就对这些应用来一一分析。

    一、 阻断QQ的连接

　　新版QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。

　　sz.tencent.com 61.144.238.145
　　sz2.tencent.com 61.144.238.146
　　sz3.tencent.com 202.104.129.251
　　sz4.tencent.com 202.104.129.254
　　sz5.tencent.com 61.141.194.203
　　sz6.tencent.com 202.104.129.252
　　sz7.tencent.com 202.104.129.253

　　在阻断8000端口的连接后，发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用，所以可以基于端口来作阻断规则。

　　在用防火墙阻断以上端口的数据包后，发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器：

　　218.17.217.106
　　219.133.40.95
　　219.133.40.97,
　　219.133.40.157,
　　219.133.40.177,
　　219.133.40.73,
　　219.133.40.189
　　218.18.95.153
　　218.17.209.23
　　202.104.129.253
　　218.17.209.42

　　在针对这些IP作阻断规则后，QQ已基本无法登录。

　　在试验中还发现，QQ安装目录下的Config.db文件，其中记录了QQ服务器的地址，与我们上面找到的完全符合。

　　因此，在用防火墙阻止用户使用QQ上网时，除了阻止tcp和udp的8000、8001端口外，还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP：

　　61.141.194.203
　　61.144.238.145/146/149/155
　　61.172.249.135
　　65.54.229.253
　　202.96.170.164
　　202.104.129.151/251/252/253/254
　　211.157.38.38
　　218.17.209.23/42
　　218.17.217.106
　　218.18.95.153/165
　　219.133.40. 21/73/89/90/92/95/97/157/177/189（这个网段的服务器地址较多，可以考虑阻断整个网段）

　　虽然以上方法可以起到阻断QQ连接的作用，但如果腾讯增加新的QQ服务器，QQ也还是可以登录的。另外，用第三方的代理软件如NEC E-BORDER等，支持Anonymous的Socks5代理还是可能绕过去，登陆使用QQ。

　　二、 阻断MSN的连接

　　MSN的连接在除使用常规的1863端口外，还会使用7001和80端口，因为这两个端口涉及到其他网络服务的应用，所以也只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接，来达到用户要求。

　　以下列举了在试验中找到的服务器IP：

　　64.4.12.200/201
　　65.54.194.117
　　207.46.68.23
　　207.46.104.20
　　207.46.107.14/125
　　207.46.110.27/28/254

　　经查询，这些服务器IP都是北美地区的。

　　同样，如微软添加新的MSN服务器或者用户使用代理，还是可以登录MSN。

一、 阻断QQ的连接

　　新版QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。 sz.tencent.com 61.144.238.145 sz2.tencent.com 61.144.238.146 sz3.tencent.com 202.104.129.251 sz4.tencent.com 202.104.129.254 sz5.tencent.com 61.141.194.203 sz6.tencent.com 202.104.129.252 sz7.tencent.com 202.104.129.253 在阻断8000端口的连接后，发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用，所以可以基于端口来作阻断规则。 在用防火墙阻断以上端口的数据包后，发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器： 218.17.217.106 219.133.40.95 219.133.40.97, 219.133.40.157, 219.133.40.177, 219.133.40.73, 219.133.40.189 218.18.95.153 218.17.209.23 202.104.129.253 218.17.209.42 在针对这些IP作阻断规则后，QQ已基本无法登录。 在试验中还发现，QQ安装目录下的Config.db文件，其中记录了QQ服务器的地址，与我们上面找到的完全符合。 因此，在用防火墙阻止用户使用QQ上网时，除了阻止tcp和udp的8000、8001端口外，还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP： 61.141.194.203 61.144.238.145/146/149/155 61.172.249.135 65.54.229.253 202.96.170.164 202.104.129.151/251/252/253/254 211.157.38.38 218.17.209.23/42 218.17.217.106 218.18.95.153/165 219.133.40. 21/73/89/90/92/95/97/157/177/189（这个网段的服务器地址较多，可以考虑阻断整个网段） 虽然以上方法可以起到阻断QQ连接的作用，但如果腾讯增加新的QQ服务器，QQ也还是可以登录的。另外，用第三方的代理软件如NEC E-BORDER等，支持Anonymous的Socks5代理还是可能绕过去，登陆使用QQ。

　　二、 阻断MSN的连接

　　MSN的连接在除使用常规的1863端口外，还会使用7001和80端口，因为这两个端口涉及到其他网络服务的应用，所以也只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接，来达到用户要求。 以下列举了在试验中找到的服务器IP： 64.4.12.200/201 65.54.194.117 207.46.68.23 207.46.104.20 207.46.107.14/125 207.46.110.27/28/254 经查询，这些服务器IP都是北美地区的。 同样，如微软添加新的MSN服务器或者用户使用代理，还是可以登录MSN。

本人未经测试，仅供参考：
msn服务器地址：注册阿里妈妈赚广告费 被过滤广告 被过滤广告

65.54.225.254

65.54.226.254

65.54.228.244

65.54.228.253

65.54.229.248

65.54.229.253

65.54.225.241

65.54.226.247

qq服务器地址

219.133.40.15

218.17.209.23

202.104.129.252

218.18.95.153

202.104.129.251

61.144.238.145

202.104.129.253

61.141.194.203

202.104.129.254

218.18.95.165

61.144.238.146

219.133.40.91

211.248.99.252

218.17.217.66

61.144.238.156

219.133.40.89

219.133.40.115

219.133.40.90

219.133.40.113

219.133.40.114

210.22.12.126

61.141.194.223

61.172.249.135

202.104.128.233

202.96.170.164

218.17.217.103

218.66.59.233

61.141.194.207

202.96.170.163

202.96.170.166

202.96.140.18

202.96.140.119

202.96.140.8

202.96.140.12


QQ服务器分为三类：

1、UDP 8000端口类13个：速度最快，服务器最多。

QQ上线会向这11个服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。

这6个服务器名字均以SZ开头，域后缀是tencent.com，域名与IP对应为

sz sz2 : 61.144.238.145 61.144.238.146 61.144.238.156

sz3 sz4 sz6 sz7 : 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253

sz5 : 61.141.194.203

202.96.170.166 218.18.95.221 219.133.45.15

61.141.194.224

202.96.170.164

2、TCP HTTP连接服务器4个，使用HTTP 80 和443端口连接

这4个服务器名字均以tcpconn开头，域后缀是tencent.com，域名与IP对应为

tcpconn tcpconn3 218.17.209.23

tcpconn2 tcpconn4 218.18.95.153

61.141.194.227

218.18.95.171

3、会员VIP登陆服务器，使用HTTP 443安全连接

服务器IP 218.17.209.42

知道这些服务器地址，全封锁了就OK了，谁也不能上QQ了，无论何种方式，

如果可以上了，那么就是tencent增加了新的服务器

再分析一次就可以找出新的服务器地址了。

本文来源：https://www.2haoxitong.net/k/doc/d9d51d2c647d27284b735161.html