如何使用iptables设置禁止本地局域网使用qq

chouyouyou

请问：如何使用iptables设置禁止本地局域网使用qq，我设置了过滤规则：
iptables -A mine -p udp -s 192.168.0.0/24 --dport 8000 -j DROP
但还是不行，该如何做呢？
另外，联众游戏该如何禁止？

evis

我也想知道，up

mapple

端口是4000吧？

lin_lin13

I also want to know,  up!

doooom

直接把腾迅的服务器都封掉不就完了。没法验证密码也就上不了了。

cx6445

封目标机UDP协议8000端口

maddy

还是封服务器，现在qq好象还可以用http协议上

cx6445

因为封主机太累，有好多主机的
iptables -A FORWARD -p upd -dport 8000 -o ppp0 -j DROP
没测试过，格式有可能不对，反正就是这个意思。

cx6445

别外联众和边峰验证密码的端口为TCP协议2000和4000端口，我封过可以的。
如果全部改为squid代理上网，做nat但封所有端口只打开需用端口，这样可以封代理上线。

cx6445

我简单写一下一块网卡eth0做的代理，并封联众、边峰和QQ
#!/bin/bash
echo -n "Firewall start................"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -A INPUT -s x.x.x.x tcp -p tcp --dport 22 -i ppp0 -j ACCEPT
（这样除了特定机器能从公网远程控制网关，网关在公网上就象隐形一样很难攻击）
iptables -P FORWARD DROP
iptables -A FORWARD -p ICMP -j ACCEPT
iptables -A FORWARD -p tcp -s ! 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -j ACCEPT
...
...
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport XXX -j ACCEPT
（或者iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 1:1024 -j ACCEPT，这样除非代理用得是极少数开放的端口，否则也不能使用代理。由于规则过于严格可能有部份网站不能正常浏览和下载。有兴趣也可配合squid彻底封住代理）
iptables -A FORWARD -p udp -s 192.168.1.0/24 --dport  8000 -j DROP
封QQ
iptables -A FORWARD -p udp -j ACCEPT
iptables -A FORWARD -p tcp --dport 4000 -o ppp0 -j DROP
iptables -A FORWARD -p tcp --dport 2000 -o ppp0 -j DROP
（封边峰和联众的密码认证，配合cron可实现分时段封锁）
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
echo "[ OK ]"