路由器如何限制內網電腦使用QQ

路由器如何限制內網電腦使用QQ

QQ客戶端登錄的時候使用的外網端口號有UDP端口號8000,TCP端口號80和443三個端口,一般來說不可能直接把80端口也屏蔽掉,除非您不想瀏覽網頁。所以我們的處理思路中是使用域名過濾、IP過濾這兩種技術結合起來。考慮到屏蔽8000和443端口對一般用戶影響不大,我們就直接把它們屏蔽掉了,對于使用80端口的QQ服務器,只能通過在廣域中地址欄中過濾QQ服務器IP地址的方法來屏蔽。

這次我們測試的QQ版本有2004、2005兩個版本,由于目前騰迅公司已經不允許2003版本QQ客戶端的登錄,所以實驗中沒有使用它。


通過對QQ連接信息的查看,目前QQ能夠登錄的服務器的域名信息如下:


UDP登錄服務器:


· sz.tencent.com


· sz2.tencent.com


· sz3.tencent.com


· sz4.tencent.com


· sz5.tencent.com


· sz6.tencent.com


· sz7.tencent.com


· sz8.tencent.com


· sz9.tencent.com


TCP登錄服務器


· tcpconn.tencent.com


· tcpconn2.tencent.com


· tcpconn3.tencent.com


· tcpconn4.tencent.com


· tcpconn5.tencent.com


· tcpconn6.tencent.com


所以我們在路由器作了如下限制:




圖1 防火墻設置


確認防火墻、 IP過濾、域名過濾都開啟著。我們再看域名過濾的具體設置:




圖2 域名過濾設置


通過上面的設置我們可以把所有和QQ有關的域名請求都予以過濾。


我們再看看IP過濾的設置:




圖3 IP地址過濾設置


上圖3是“IP地址過濾”頁面的抓圖,前面兩條先屏蔽了8000和443兩個端口,剩下的80端口的服務器只能通過過濾服務器IP地址的方法屏蔽掉。下面的三條IP地址過濾規則的作用就是將發往219.133.38.29、219.133.38.30、219.133.38.232這三個QQ服務器的數據包禁止掉了!那么這三個服務器的IP地址是怎樣得來的呢?使用80端口的QQ服務器有多少呢?它們的IP地址又都是多少呢?后面會介紹如何查看QQ登錄時使用的服務器IP地址。當我們發現了新的可以登錄的服務器IP地址,需要自己再繼續添加過濾條目。


下面說明一下上圖中這三個QQ服務器的地址是怎么得來的?


我們按照圖2中所示的方法使用“域名過濾”封鎖掉一部分QQ服務器,接著如圖3所示,在“IP地址過濾”頁面最上面的兩條規則中“禁用443和8000端口”后,發現內網電腦還是可以登錄QQ的,那說明連接的服務器使用的是80端口提供服務,網絡管理員可以在QQ2005的“登錄設置”頁面查看當前客戶端登錄的QQ服務器的IP地址,過程就這么簡單。


試驗中找到的三個服務器的IP地址(219.133.38.29、219.133.38.30、219.133.38.232)都被封鎖了,但是QQ2005又一次成功登錄,于是繼續打開QQ2005的“登錄設置”頁面如下圖:




圖4 QQ登錄設置界面


從圖4中可以看到,QQ2005又連接了新的服務器,IP地址是219.133.49.5 ,連接的是80端口,沒有關系,把這個新發現的服務器IP地址也加入到“IP地址過濾”中去就可以了。就這樣找到一個新的服務器IP地址,添加到“IP地址過濾”中把它禁止掉!


有些用戶會擔心,“IP地址過濾”規則的可設定條目數是有限的,可設定條目數不夠怎么辦?不用擔心,因為我司的寬帶路由器“IP地址過濾”條目在設置的時候,“局域網IP地址/廣域網IP地址”這兩個參數都是可以輸入一段IP地址的,比如我們上面發現的四個服務器IP地址可以合并為下面的兩個條目:


219.133.38.0-219.133.38.255


219.133.49.0-219.133.49.255


或者還可以把上面的兩段地址繼續合并為下面更大的一段:


219.133.38.0-219.133.49.255


通過這樣設置IP地址段,足夠將所有的使用80端口的QQ服務器IP地址囊括!需要做的只是下面的操作循環:使用QQ2005成功登錄——>發現新的服務器IP地址——>設定“IP地址過濾”規則禁止,重復直到QQ客戶端再也不能連接到服務器。


上面的操作已經可以屏蔽QQ登錄,如果您發現在這樣操作后出現了一些異常情況,請繼續閱讀下面的內容:


當我們合并了QQ服務器IP地址并成段過濾掉以后,會不會把一些正常的不是QQ服務器的IP地址也封鎖掉了?這個不用太擔心,我們屏蔽的地址段和互聯網可用的地址段相比來說,只屬于非常小的一段,發生這種情況的可能性極小,如果萬一真的發生了“需要連接的目的IP地址也被封鎖”這種情況,可以簡單把我們上面限制的地址段拆分成多段,不包括我們需要訪問的IP地址就可以了。


我們在上面的指導中默認是把所有的443端口的數據包都禁止掉了,也就是不論連接那個服務器,只要目的端口是443端口一概禁止。如果您需要一些443端口的訪問,可以在屏蔽443端口條目的“廣域網IP地址”這一欄,加入IP地址段限制,如219.133.38.0-219.133.49.255試試,或者采用分段的方法,將自己需要連接的那個IP地址不包括即可。


補充:因為MSN運行過程也會使用到443端口,所以對443端口的封鎖會導致MSN不能正常使用,如果對內網的上網權限QQ和MSN要區別開來的話,在上面的配置過程當中可以不封鎖443端口,同樣可以對QQ有效封鎖。
上面的配置是結合“端口”、“域名”和“服務器IP”綜合封鎖,還有一種簡單的思路就是“將發往QQ服務器IP的數據包全部封鎖”,這樣同樣可以封鎖QQ ,配置思路比較簡單。