【技巧】請問各位先進關於只開放部份電腦使用qq的方法

**kenfang** · 2006-11-13, 11:06 PM

各位好！
有個問題一直困擾著我，如說明：
1.我是使用BrazilFW Firewall and Router2.29
2.在Simplified Firewall Configuration中的Level 7 Protocols Filtering加入qq兩個字就可以很輕鬆的封鎖整間公司的電腦不能上qq，而且仍然可以上一般的網+skype，這點很感謝軟體設計者的努力，讓我們這些linux的生手很容易的管控網路。
3.但是現在問題來了，如果要開放某幾台電腦可以上qq，那我該怎麼辦呢？試過自己加載編輯自定義防火墻規則，但總是不得要領，不是全開了就是全關了，也有試過針對某個ip封鎖qq，但是只要使用電腦的人更換內部虛擬ip，還是可以上qq。
希望有哪位高手能指點我
謝謝！！

**yowlc** · 2006-11-14, 03:13 PM

可以先參考 linux_xp 大大的一些文章

如:
http://www.pczone.com.tw/showthread.php?t=116666

不過對於第一次的人, 可能要花一點時間了解..

我目前是設定成
1. 每個人有固定的頻寬(不含 P2P),
2. 而且 IP 還要對 MAC, 自己偷改 IP 還是不能上網,
3. 只要是 Emule, Edonkey, Foxy 所有人全部加起來, 頻寬在 1.5m/640k

所以學會的話, 要怎樣分配控制就可以隨自己的意思囉, 成功還要要努力的喔!!

**kenfang** · 2006-11-14, 09:15 PM

謝謝！您的回應！
可以請教下面這個語法哪邊有錯誤：
iptables -t mangle -I POSTROUTING -m mac --mac-source 00:11:5b:13:c8:d3 -m layer7 --l7proto qq -j DROP
我是要封鎖這個mac地址的電腦不能上qq。
感謝！！
會出現：
Configuring firewall rules...
Configuring custom firewall rules...
iptables: Unknown error -1
Configuring port forwarding for internal hosts...

**yowlc** · 2006-11-15, 11:28 AM

作者：kenfang

謝謝！您的回應！
可以請教下面這個語法哪邊有錯誤：
iptables -t mangle -I POSTROUTING -m mac --mac-source 00:11:5b:13:c8:d3 -m layer7 --l7proto qq -j DROP
我是要封鎖這個mac地址的電腦不能上qq。
感謝！！
會出現：
Configuring firewall rules...
Configuring custom firewall rules...
iptables: Unknown error -1
Configuring port forwarding for internal hosts...

我的印象中, 好像不能同時下兩個 -m 的參數..

我的作法會是:

eth0 表示對內網卡， eth1 表示對外網卡。

1. 先在 BrazilFW 的 DHCP 裡面設定固定 IP, 假設 Lan 為 192.168.28.0/24 區段, 那麼在 DHCP 設定檔裡面可能會是

dhcp-host=11:11:11:11:11:11,192.168.28.21,infinite
dhcp-host=22:22:22:22:22:22,192.168.28.22,infinite
dhcp-host=33:33:33:33:33:33,192.168.28.23,infinite
dhcp-host=44:44:44:44:44:44,192.168.28.24,infinite

dhcp-host=00:11:5b:13:c8:d3,192.168.28.99,infinite

2. 所以現在 mac 00:11:5b:13:c8:d3 上網應該會配到 192.168.28.99 才對, 但是為了怕對方自己在他的電腦設定固定 IP, 這樣就可以不受限制, 所以要下底下指令:

iptables -t filter -A user-filter -i eth0 -s 192.168.28.21 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -t filter -A user-filter -i eth0 -s 192.168.28.22 -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
iptables -t filter -A user-filter -i eth0 -s 192.168.28.23 -m mac --mac-source 33:33:33:33:33:33 -j ACCEPT
iptables -t filter -A user-filter -i eth0 -s 192.168.28.24 -m mac --mac-source 44:44:44:44:44:44 -j ACCEPT

iptables -t filter -A user-filter -i eth0 -s 192.168.28.99 -m mac --mac-source 00:11:5b:13:c8:d3 -j ACCEPT

# 將其它 IP 都放棄
iptables -t filter -A user-filter -i eth0 -s 192.168.28.0/24 -j DROP

3. 目前保證可以上網的, 就是使用 DHCP, 而且是在我的靜態 IP 表裡面有設定的( IP 綁 MAC ), 其餘都不行上網, 因此 mac 00:11:5b:13:c8:d3 會配到 192.168.28.99:

iptables -t mangle -I FORWARD -i eth0 -s 192.168.28.99 -m layer7 --l7proto qq -j DROP

這樣應該就會讓 192.168.28.99 (--mac-source 00:11:5b:13:c8:d3) 不能使用 qq 囉!!

**kevin0615** · 2006-11-17, 04:50 PM

作者：yowlc

可以先參考 linux_xp 大大的一些文章

如:
http://www.pczone.com.tw/showthread.php?t=116666

不過對於第一次的人, 可能要花一點時間了解..

我目前是設定成
1. 每個人有固定的頻寬(不含 P2P),
2. 而且 IP 還要對 MAC, 自己偷改 IP 還是不能上網,
3. 只要是 Emule, Edonkey, Foxy 所有人全部加起來, 頻寬在 1.5m/640k

所以學會的話, 要怎樣分配控制就可以隨自己的意思囉, 成功還要要努力的喔!!

請問一下有關p2p的頻寬設定是否可以mail給我看一下謝謝,[email protected]