擋掉 4 大傳訊軟體、3 大影音軟體

[harrier]

前些陣子看到大家在討論阻擋傳訊或影音軟體，經過測試整理，彙整
下列資料：

1.用 iptables 或 ipchains 擋掉 20/21/23/25/119/135/554/1755/5050
   /5190/7070/7071/8200/8554 通訊埠。
   Yahoo! Messenger 非常討厭，會嘗試 21/23/25/80/119/5050 通訊
   埠，除此之外的各埠口都是影音軟體 Windows Media Player 和
   RealPlayer 所使用，包括 5050 埠。
2.使用通透式代理似服器，強制導向 80 埠，然後用上次網友說的，阻
   擋下列副檔名：.asf .avi .cda .mov .mp3 .mpg .mpeg .qt .ra .rm .rv
   .wav .wma .wmv。這個時候，QuickTime 就玩完了。
3.用通透式代理似服器，阻擋包含下列字元網址，不讓傳訊軟體有透
   過 80 埠搜尋機會：oscar.aol messenger.hotmail messenger.msn
   login.icq proxy.icq icq.mirabilis edit.yahoo messenger.yahoo
   pager.yahoo。
4.還是請代理伺服器阻擋下列 IP 位址：205.188.179.233、
   205.188.3.160、205.188.3.176、205.188.5.204、
   205.188.5.208、205.188.7.164、205.188.7.168、
   205.188.7.172、205.188.7.176、216.136.131.93、
   216.136.175.142、216.136.175.143、216.136.175.144、
   216.136.175.145、216.136.224.213、216.136.224.214、
   216.136.225.11、216.136.225.12、216.136.225.35、
   216.136.225.36、216.136.225.83、216.136.225.84、
   216.136.226.117、216.136.226.118、64.12.162.57、
   64.4.12.0/24、64.4.13.17、64.4.13.223、64.4.13.36、
   64.4.13.49
   注意 Yahoo! 都有多重功能，目前知道某些會『撞到』，如
   .afp.com login.yahoo.com story.news.yahoo.com，要額外開給它
   們走，請留意實作狀況，因為每間公司不同。
5.用 iptables 或 ipchains，除擋掉上列 IP 位址的所有通訊埠外，再加
   上這些：login.oscar.aol.com、gateway.messenger.hotmail.com、
   messenger.hotmail.com、messenger.msn.com、login.icq.com、
   http.proxy.icq.com、icq.mirabilis.com、msg.edit.yahoo.com、
   messenger.yahoo.com。
6.Yahoo! Messenger 會在很多主機中亂找，下列 IP 範圍所有的 21/
   /23/25/119/5050 (80 埠已交給代理伺服器擋) 通訊埠，統統擋起來
   ：216.136.128.0/22、216.136.172.0/22、216.136.224.0/22、
   216.136.232.0/22。因為 Yahoo! 最主要的郵件功能以網頁為主，應
   該不用擔心，那是 80 埠。

以上，經實測結果，我看到了只剩下 "Q" 符號的 QuickTime，主機逾
時的 RealPlayer 與 Windows Media Player，停留在登入畫面的 AOL
小人偶、紅色的 ICQ 花、有 "x" 記號的 MSN，以及面色慘白的
Yahoo! 小圓臉。

[小穎]

讚！拍拍手！趕快先copy下來！

PS.還是移到精華區好了！^^

[SaPow]

所以說..查的出來怎麼連線的就能檔的住~
只是看要不要那麼機車罷了..

[duncanlo]

先把影音的部份全給他封了....

線上看影片,聽音樂是最吃頻寬的!

[landchang]

補充一下,當使用上述手段阻擋後,
User在傳訊軟體中設定使用外部的proxy後,仍然可以連的上,
user設定使用proxy後, outgoing變成80 port, 到此會被重導到squid,
squid幫這個user把連線轉到Internet上的public proxy, 然後...bingo

仍然在思考中...

[thyme]

補充一下,當使用上述手段阻擋後,
User在傳訊軟體中設定使用外部的proxy後,仍然可以連的上,
user設定使用proxy後, outgoing變成80 port, 到此會被重導到squid,
squid幫這個user把連線轉到Internet上的public proxy, 然後...bingo

仍然在思考中...

外部proxy又沒有幾台，查一個擋一個就好了。

啊...我要傳訊，不要被擋....不要被擋....不要被擋...

[lio.lee]

這篇真棒~~看的出大大的用心喔~~
感謝大大喔~~

[marven]

感謝學長 真是用心and無私!!!

[ano]

我是新生來到這裡，真是讓我目瞪口呆.
各位真是了不起!

[ktch]

太棒了,給大大鼓掌!!

有沒內人玩checkpoint,如果用smartDefense
要如何玩呢?

[ktch]

Sorry打錯字!!

太棒了,給大大鼓掌!!

有沒有人玩checkpoint,如果用smartDefense
要如何玩呢?

[ano]

真是了不起.鼓勵鼓勵!

[cch]

請問此法目前還成功嗎?

[cool2007]

大大真是太強了
我正想問說怎麼"擋"~~
因為之前也看過一些文章
但是還行不通說 = =
試試大大說的可以嗎???

[chanchenting]

之前試驗過一個大陸人開發的軟體"無界瀏覽"
用防火牆檔一大堆  但是他就是還是有辦法可以出去

[ricky]

只能說盜高一尺魔高一丈
把port 80導向proxy
可以透過http tunnel閃過自己弄個外部的proxy照上
擋port
可以用icmptunnel將連線隱藏在icmp封包裡
有人將連線隱藏在dns封包裡
除非強制內部人員統統走proxy
封閉內部對外的路由
不然單純port過濾連bt加密連線都擋不掉