允许上网，禁止上Q两不误"用后感受和改进.感谢TIM97兄

ylfzl · 发表于 2008-8-8 09:55:13

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

用了,允许上网，禁止上Q两不误.这个贴子.感觉非常好用.感谢tim973兄.在使用过程中,发现把自已也给禁了.后来摸索了一下.再加了一个地址列表.就是把不禁止的IP加到这个地址列表.除了这个地址列表内的IP才加到黑名单。后又发现很多用户跑过来问我为什么断网了.不胜其烦.后又想到公司有个闲置的WEB服务器.索性建立一个页面.在路由里把黑名单里的IP如打开网页就自动转向到这个页面告是什么原因造成断网.

tim97803 · 发表于 2008-8-12 13:08:20

谢谢捧场，隐藏部分就贴在在底下了
其实也没有什么技术含量，隐藏了是不想有些新人受误导直接套用罢了。
不修改就直接套用不一定可以的，比如把这些规则都放在一条开放所有权限的规则下面

一、标注主要服务器地址

/ ip firewall address-list
add list=QQserver address=219.133.0.0/16 comment="" disabled=no
add list=QQserver address=58.61.32.0/24 comment="" disabled=no
add list=QQserver address=58.60.14.0/24 comment="" disabled=no
add list=QQserver address=218.6.2.0/24 comment="" disabled=no
add list=QQserver address=58.60.9.0/24 comment="" disabled=no
add list=QQserver address=58.60.15.0/24 comment="" disabled=no
add list=QQserver address=58.161.164.0/22 comment="" disabled=no
add list=QQserver address=58.251.60.0/24 comment="" disabled=no
add list=QQserver address=58.251.61.0/24 comment="" disabled=no
add list=QQserver address=58.251.62.0/24 comment="" disabled=no
add list=QQserver address=58.251.63.0/24 comment="" disabled=no
add list=qqgame address=61.172.204.148-61.172.204.215 comment="" disabled=no
add list=qqgame address=218.18.95.153 comment="" disabled=no
add list=qqgame address=60.28.232.12 comment="" disabled=no
add list=qqgame address=219.133.41.152 comment="" disabled=no
add list=qqgame address=210.22.23.197 comment="" disabled=no
add list=qqgame address=202.205.3.202 comment="" disabled=no
add list=qqgame address=202.104.241.19 comment="" disabled=no
add list=qqgame address=121.14.77.57-121.14.77.126 comment="" disabled=no
add list=qqgame address=172.16.13.2 comment="" disabled=no
add list=qqgame address=218.17.209.23 comment="" disabled=no
add list=qqgame address=58.61.166.136 comment="" disabled=no
add list=qqgame address=58.60.11.141-58.60.11.212 comment="" disabled=no
二、建立“黑白名单制度”
以下是有访问主要的QQ服务器的列入黑名单
/ ip firewall mangle
add chain=prerouting dst-address-list=QQserver action=add-src-to-address-list \
address-list=dispc address-list-timeout=5m comment="" disabled=no
add chain=prerouting dst-address-list=qqgame action=add-src-to-address-list \
address-list=dispc address-list-timeout=5m comment="" disabled=no
以下是把邮件服务器列为“白名单”，主要是有的邮箱不是单位邮箱也不能设成outlook收发件。如不需的可不用。
add chain=prerouting protocol=tcp dst-port=110 action=add-dst-to-address-list \
address-list=mail address-list-timeout=2m comment="" disabled=no
add chain=prerouting protocol=tcp dst-port=25 action=add-dst-to-address-list \
address-list=mail address-list-timeout=2m comment="" disabled=no
三、建立“黑名单”规则
/ ip firewall filter
add chain=forward protocol=tcp src-address-list=!dispc action=accept 开放非“黑名单”
如不需要下面3条可不用
add chain=forward protocol=tcp dst-port=25 src-address-list=dispc action=accept 开放发件端口
add chain=forward protocol=tcp dst-port=110 src-address-list=dispc action=accept 开放收件端口
add chain=forward protocol=tcp src-address-list=dispc dst-address-list=mail action=accept 开放邮件服务器
“黑名单”规则
add chain=forward src-address-list=dispc dst-address-list=!mail action=drop
“黑名单”除“白明单邮件服务器”外全禁止
当登陆QQ的时候，因为主要服务器没禁止，所以一般会向服务器发数据，
一但向主要QQ服务器发送数据就会被列入“黑名单”5分钟。
“黑名单”在这只能收发邮件，QQ自然登陆不了，更狠一点的可以将黑名单设成什么都不能访问，而且时间更长一点
只要不使用QQ，上网什么的照原来的设定，一但登陆就关到黑名单
为了能上网，员工也就只好放弃QQ了。

likeme · 发表于 2008-8-12 15:59:19

这个方法好。人性化多了。

tim97803 · 发表于 2008-9-11 10:10:29

发现我的那个贴子也被删掉了，
把这个顶上来，不重发了。

wwt0101 · 发表于 2008-9-11 11:37:52

我是菜鸟，这个怎么加到规则中去

rotao · 发表于 2008-9-12 23:10:37

这个东西好，收藏。。

brqtpt007 · 发表于 2008-9-18 15:52:53

学习ing

hlaxp · 发表于 2008-9-21 09:32:29

占个位,,学习

frankie_qj · 发表于 2008-9-22 10:23:10

正需要，学习中
顶下楼主

txljb · 发表于 2008-9-24 16:43:15

很不错，，

lzgk2000 · 发表于 2009-2-7 09:49:13

好东西我顶！！！！

admini · 发表于 2009-2-7 11:23:40

不需要单独用一台机子做WEB服务器，直接用ROS就可以做这个页面了

raygo · 发表于 2009-2-7 12:02:09

L7禁QQ不是更直接！

stone2009 · 发表于 2009-2-9 21:26:01

好东东啊，楼主，有谁测试过？！~~~~~~~

squall2rinoa · 发表于 2009-2-10 09:07:29

非常不错我顶

账号		自动登录	找回密码
密码			注册

[其它] 允许上网，禁止上Q两不误"用后感受和改进.感谢TIM97兄

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。