小州 <kenduest.bbs@bbs.cynix.com.tw>
wrote in message
news:3e0AHg$5rd@bbs.cynix.com.tw...
> ※ 引述《Chenwei@bbs.ee.ntu.edu.tw
(MayBe)》之銘言:
> > 如題..
>
> 把對於 login.icq.com
的連線封起來,這個作法不知道怎樣?
如果內部的人員知道外部主機的 IP 和 port
﹐要完全擋掉似乎很難。不過﹐如果擋掉
其 bi-directional connection ﹐也就是不讓他到 ICQ server
去登陸﹐恐怕也擋掉
了許多 ICQ 連線機會了。
在 icq2000 以前﹐icq server 是使用 UDP 4000 這個 port ﹐而 2000
之後則使用
TCP 5190 。
那您可以這樣玩﹕
ipchains -I outpu -j DENY -p udp -d 0/0 --dport 4000
ipchains -I output -j DENY -p tcp -d 0/0 --dport 5190
ipchains -I input -j DENY -p udp -s 0/0 --sport 4000
ipchains -I input -j DENY -p tcp -s 0/0 --sport 5190
如果您要連 client to client 的連線也要擋的話﹐那就將 output
關閉﹐只允許常用
服務出去﹐例如﹕
ipchians -P output DENY
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 80
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 21
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 23
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 25
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 110
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 143
ipchains -A output -j ACCEPT -p tcp -d 0/0 --dport 113
* 註﹕最後一行是給 auth
使用﹐許多服務都可能使用到﹐確定它是被允許的。
當然﹐這只是一部份設定而已﹐至於 input 和 forward
等設定﹐請根據各協定特性逐
一設定了。
上面只列出 tcp 部份而﹐如果協定中還需要用 UDP
的話﹐或是還有其它服務﹐一一加
上。