鑒于并非所有局域網(wǎng)的連接方式都是代理式的（實際上，幾乎稍具規(guī)模的局域網(wǎng)都不是代理式的），所以，找到一套通過路由器端控制的方法是比較切實需要的。不少單位（如我們）都是在不同網(wǎng)段使用較低級別的路由器來連接網(wǎng)絡(luò)，ＳＯＨＯ級別的路由器允許設(shè)置的限制規(guī)則條數(shù)均不多帶來許多的困難。

　　以下是我本人的方案，基本的思路是：１、常用端口封堵；２、重點服務(wù)器ＩＰ封堵；３、流入、流出數(shù)據(jù)封堵結(jié)合。

　　現(xiàn)在的運作證明，沒有人能突破這個封鎖。

　　一、域名過濾；

　　對所有進出路由器的數(shù)據(jù)包中，包含下列域名的數(shù)據(jù)均作丟棄處理：

　　QQ.COM TENCENT.COM

　　二、報文過濾；

　　流出過濾：(使用8條規(guī)則即可）　　　

　　1、所有內(nèi)網(wǎng)ＩＰ的UDP4001-4009端口發(fā)出的報文全部丟棄?！?

　　2、所有內(nèi)網(wǎng)ＩＰ的8000端口發(fā)出的報文全部丟棄。　

　　3、所有目標IP為218.18.95.220的報文全部丟棄?！?

　　4、所有目標IP為61.144.238.145的報文全部丟棄。
　
　　5、所有目標IP為61.141.194.227的報文全部丟棄?！?

　　6、所有目標IP為218.17.209.23的報文全部丟棄?！?

　　7、所有目標IP為218.18.95.153的報文全部丟棄?！?

　　8、所有目標IP為218.18.75.171的報文全部丟棄。

　　流入過濾：(使用6條規(guī)則即可）　

　　1、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標端口為UDP4000-4009的報文全部丟棄。　

　　2、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標端口為433的報文全部丟棄。　

　　3、所有從外部發(fā)往內(nèi)部網(wǎng)絡(luò)中目標端口為UDP8000的報文全部丟棄?！?

　　4、所有從218.18.95.220（端口80）發(fā)往內(nèi)網(wǎng)端口80的報文全部丟棄?！?

　　5、所有從218.18.95.220（端口443）發(fā)往內(nèi)網(wǎng)端口443的報文全部丟棄。

文章錄入：csh    責任編輯：csh 

最新評論