iptables封锁MSN的问题

judasmile · 发表于 2005-7-21 15:17:08

:help 公司最近要求封锁MSN，试了几种方法都不行，下面是我试过的规则：

iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
iptables -A FORWARD --protocol tcp --dport 1863 -j REJECT --reject-with tcp-reset
for i in `cat /etc/msnserverlist`;do /sbin/iptables -A FORWARD -d $i -j DROP;done
for i in `cat /etc/msnserverlist`;do /sbin/iptables -A FORWARD -s $i -j DROP;done
msnserverlist:
207.46.4.55
207.46.4.161
207.46.0.74
207.46.4.40
207.46.6.101
207.46.4.93
207.46.4.38
207.46.0.48
207.46.0.144
207.46.4.59
207.46.6.29
207.46.6.176
207.46.0.22
207.46.0.54
65.54.239.20
207.46.0.92
207.46.0.68
207.46.0.46
207.46.6.186
207.46.2.161
207.46.0.81
207.46.6.201
65.54.239.140
207.46.0.96
61.129.45.63
207.46.0.57
207.46.0.75
207.46.0.83
207.46.0.151
207.46.0.147

iptables -A FORWARD -d 64.4.12.200 -p udp --dport 7001 -j DROP
iptables -A FORWARD -d 64.4.12.201 -p udp --dport 7001 -j DROP
iptables -A FORWARD -d 65.54.226.247 -p udp --dport 443 -j DROP
iptables -A FORWARD -d 207.46.104.20 -p udp --dport 1863 -j DROP
iptables -A FORWARD -d 207.46.106.99 -p udp --dport 1863 -j DROP
iptables -A FORWARD -d 207.46.110.254 -p udp --dport 80 -j DROP
iptables -A FORWARD -s 64.4.12.200 -p udp --sport 7001 -j DROP
iptables -A FORWARD -s 64.4.12.201 -p udp --sport 7001 -j DROP
iptables -A FORWARD -s 65.54.226.247 -p udp --sport 443 -j DROP
iptables -A FORWARD -s 207.46.104.20 -p udp --sport 1863 -j DROP
iptables -A FORWARD -s 207.46.106.99 -p udp --sport 1863 -j DROP
iptables -A FORWARD -s 207.46.110.254 -p udp --sport 80 -j DROP
iptables -A FORWARD -d 64.4.12.200 -p tcp --dport 7001 -j DROP
iptables -A FORWARD -d 64.4.12.201 -p tcp --dport 7001 -j DROP
iptables -A FORWARD -d 65.54.226.247 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 207.46.104.20 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -d 207.46.106.99 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -d 207.46.110.254 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 64.4.12.200 -p tcp --sport 7001 -j DROP
iptables -A FORWARD -s 64.4.12.201 -p tcp --sport 7001 -j DROP
iptables -A FORWARD -s 65.54.226.247 -p tcp --sport 443 -j DROP
iptables -A FORWARD -s 207.46.104.20 -p tcp --sport 1863 -j DROP
iptables -A FORWARD -s 207.46.106.99 -p tcp --sport 1863 -j DROP
iptables -A FORWARD -s 207.46.110.254 -p tcp --sport 80 -j DROP

以上所有规则都不起作用，MSN还是能很顽强的登上去，哪位兄弟有好的办法可以封住MSN？另：封住之后我想让一部分人可以使用MSN，还需要加什么规则才行？

jd_chen · 发表于 2005-7-21 15:55:21

封了端口还能上？？？

judasmile · 发表于 2005-7-21 17:09:50

是啊，能想到的办法都用了，不过还没试过squid，我只想用iptables进行封锁，我看了看ipconntrack，好像MSN能走80端口连线，总不能连网也不让人上啊。

memory · 发表于 2005-7-21 19:11:15

使用l7filter能够轻而易举的搞定msn、qq、icq等p2p软件。

xiaohao98 · 发表于 2005-7-22 09:36:27

Post by memory
l7filter

:ask

memory · 发表于 2005-7-22 10:10:59

所谓l7就是osi第七层－应用层，l7filter也就是七层过滤。
相关内容见http://l7-filter.sourceforge.net/

judasmile · 发表于 2005-7-22 10:34:32

唔，好是好，不过还要重新编译内核。我装了一个ipp2p模块，它能封住bt，不知道能不能封住聊天工具？

河边星星 · 发表于 2005-7-22 12:11:17

acl msn_re dstdom_regex -i .*\.msnger\.com.* .*messenger\..* .*iloveim\.com .*webhancer.* .*hotbar\.com .*qq\.com .*tencent\.com .*taobao\.com
acl msn_mime req_mime_type application/x-msn-messenger
http_access deny msn_re !peter
http_access deny httport MSNQQ qqmsn_time msn_mime !peter
http_access allow our_networks

judasmile · 发表于 2005-7-22 16:23:30

哦？你用的这是啥工具？

judasmile · 发表于 2005-7-22 16:29:31

还有另外的一个问题，用iptables能否封锁一个网段的ip比如我想封锁ip地址为207.46.*.*的所有地址的通信，应该怎么设置才行呢。

		自动登录	找回密码
密码			注册

iptables封锁MSN的问题

这样可以吧.

浏览过的版块