| guy30 发表于 2008-11-2 05:11 只看TA 1楼 |
|---|
|
|
屏蔽QQ、MSN、禁止HTTP代理和socks代理的方法 有时候领导们要求我们这样做,不得不做啊,所以大伙也不要怪网管太狠心。现贴一个在局域网内屏蔽QQ、MSN、禁止HTTP代理和socks代理的例子。有用得上的朋友们可以看下~一、首先,分析这个需求: 1、MSN使用TCP/1863端口,屏蔽掉 2、QQ登录会使用到TCP/UDP8000这两个端口,还有可能使用到udp/4000进行通讯。屏蔽掉 3、以上软件都能支持代理服务器,目前的代理服务器主要布署在TCP 8080、TCP 3128(HTTP代理)和TCP1080(socks)这三个端口上。屏蔽掉 4、其它的网络活动,包括邮件收发、IE浏览等都是允许的。 二、写ACL(扩展访问列表)如下: access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 1863 access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 8000 access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 4000 access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 3128 access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 8080 access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 1080 access-list 101 permit ip any any (这一句不可少,意思是除以上应用外,其它的所有网络活动允许通过) 三、将访问列表ACL101应用到内网的出口上: int fa0/0 ip access-group 101 out 四、OK,这下领导满足了,下面的MM同事们哭了~ |
| 0 |
