鑒于并非所有局域網(wǎng)的連接方式都是代理式的（實(shí)際上，幾乎稍具規(guī)模的局域網(wǎng)都不是代理式的），所以，找到一套通過(guò)路由器端控制的方法是比較切實(shí)需要的。不少單位（如我們）都是在不同網(wǎng)段使用較低級(jí)別的路由器來(lái)連接網(wǎng)絡(luò)，ＳＯＨＯ級(jí)別的路由器允許設(shè)置的限制規(guī)則條數(shù)均不多帶來(lái)許多的困難。

　　以下是我本人的方案，基本的思路是：１、常用端口封堵；２、重點(diǎn)服務(wù)器ＩＰ封堵；３、流入、流出數(shù)據(jù)封堵結(jié)合。

　　現(xiàn)在的運(yùn)作證明，沒(méi)有人能突破這個(gè)封鎖。

　　一、域名過(guò)濾；

　　對(duì)所有進(jìn)出路由器的數(shù)據(jù)包中，包含下列域名的數(shù)據(jù)均作丟棄處理：

　　QQ.COM TENCENT.COM

　　二、報(bào)文過(guò)濾；

　　流出過(guò)濾：(使用8條規(guī)則即可）　　　

　　1、所有內(nèi)網(wǎng)ＩＰ的UDP4001-4009端口發(fā)出的報(bào)文全部丟棄。　

　　2、所有內(nèi)網(wǎng)ＩＰ的8000端口發(fā)出的報(bào)文全部丟棄?！?

　　3、所有目標(biāo)IP為218.18.95.220的報(bào)文全部丟棄?！?

　　4、所有目標(biāo)IP為61.144.238.145的報(bào)文全部丟棄。
　
　　5、所有目標(biāo)IP為61.141.194.227的報(bào)文全部丟棄?！?

　　6、所有目標(biāo)IP為218.17.209.23的報(bào)文全部丟棄。　

　　7、所有目標(biāo)IP為218.18.95.153的報(bào)文全部丟棄?！?

　　8、所有目標(biāo)IP為218.18.75.171的報(bào)文全部丟棄。

　　流入過(guò)濾：(使用6條規(guī)則即可）　

　　1、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標(biāo)端口為UDP4000-4009的報(bào)文全部丟棄?！?

　　2、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標(biāo)端口為433的報(bào)文全部丟棄。　

　　3、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標(biāo)端口為UDP8000的報(bào)文全部丟棄?！?

　　4、所有從218.18.95.220（端口80）發(fā)往內(nèi)網(wǎng)端口80的報(bào)文全部丟棄?！?

　　5、所有從218.18.95.220（端口443）發(fā)往內(nèi)網(wǎng)端口443的報(bào)文全部丟棄。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論