用路由器封迅雷

 

用路由器封迅雷
作为管理员，相信大家都为单位上个别人占用大量带宽感到头疼。普通P2P只要封端口就解决了，但是这封不住流氓迅雷！今天在网上搜索了一下，彻底解决了这个难题。
单位的网络现状：要求必须开放80端口浏览网页。
将58.61.39.1至58.61.39.254这个网段（迅雷的资源服务器地址就在这个IP段中）添加到禁止访问地址列表就行了，迅雷就能老老实实地改掉流氓习性，只从原始地址下载，杜绝P2P下载，从而节省宝贵的带宽。

 

　　我们是局域网共享上网，特别是晚上，很多人都用迅雷下载，导致其他人经常掉线，无奈之下决定封掉迅雷端口，5200和6200为登陆和注册端口，3076 3077 3078为下载端口，主要封掉3076和3077，打开ADSL猫上的IP设置规则
　　
　　1)Security Level（安全级别）－－-和全局设置级别一样的级别
　　 Direction－－－－－incoming
　　 (2)Src IP Address－－－－－－－－-any(根据自己情况，如果只限制某些地址，比如GT192.168.1.10只封大于10的地址)
　　 (3)Dest IP Address－－－－－－－--any
　　 (4)Protocol－－－－－－－－－－－-TCP
　　 (5)Source Port－－－－－－－－－－any
　　 (6)Dest Port－－－－－－－－－－－3076(执行时间自己设定，比如只让它在晚上20：00-23：00执行 ，推荐为00：00到23：59因为猫的时间和计算机不同步) 再添加两条相同规则，把这里换成3077 3078
　　 (7)TOD Rule Status－－－－－－－－enable
　　(ADSL)IP过滤规则使用的详细说明(适合多种adsl路由器)
　　
　　选择选卡 —> IP Filter选项
　　 一、IP过滤的全局配置
　　 全局设置为页面上部四个下拉菜单，分别是Security Level、Private Default Action、Public
　　 Default Action和DMZ Default Action，分别的含义如下：
　　 ·Security Level：
　　 用来设定哪一种安全级别的IP过滤规则有效。例如：当High级别被选择，则仅仅安全级别为高的规则有效
　　，如None被选择，IP过滤将被禁止。
　　 ·Private/Public/DMZ Default Action：
　　 用来设定Private/Public/DMZ三种类别接口的缺省行为（允许/拒绝），这三种接口类型可以在创建接口（如
　　 PPP接口等）时被设定。
　　 （1）Public接口一般用于连接Internet。PPP、EoA和IPoA一般都是Public接口。
　　 在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像，除了在其他IP过滤规则中被允许的规则，其他所有从外网发起的访问内网（你的局域网）的请求都将被拒绝（被Public接口丢弃）。
　　 （2）Private接口用于连接你的局域网（modem的以太口），在Private接口上收到的数据包几乎不受到防火墙
　　 限制，因为数据方向都是在你的局域网里。典型的，由内网发起的访问Internet的请求都是被允许的。
　　 （3）DMZ（非军事区）涉及到公网用户访问内网服务器（虚拟服务器）的问题，默认这种访问是被禁止的。
　　
　　
　　
　　 二、添加新的IP过滤规则
　　 1.在IP过滤设置主页面内，单击“添加”按钮，将显示规则添加页面。
　　 2.添加页面有如下显示：
　　 ·Rule ID：每一个规则都有一个规则ID，这类似于NAT规则的规则ID，ID号越小优先级越高。建议使用5、10这样
　　 的数字，以便今后插入新的规则。
　　 ·Action：定义本规则被匹配时的行为，即允许/拒绝。
　　 ·Direction：定义数据方向，即incoming/outgoing（入站/出站）。
　　 ·Interface：定义将被使用此规则的接口（如PPP、EoA、IPoA、eth-0）。
　　 ·In Interface：这个选项仅在数据方向是outgoing时才有效，所有数据都将被转发到前面定义的那个接口上
　　 ·Log Option：启用日志选项
　　 ·Security Level：这个安全级别用来定义这个规则的级别。当全局配置里的安全级别与这个规则级别相符时 ，该规则将被启用。
　　 ·Black List Status：用来定义，是否将违反规则的ip地址加入Black List（黑名单）。
　　 ·Log Tag：定义最多16个字符，在日志中标明这个规则项的事件。
　　 ·Start/End Time：定义规则一天内的时间范围。
　　 ·Src IP Address：定义受限制的数据通信的源IP地址（或范围），在下拉菜单中可以选择匹配模式
　　 *any :任意IP地址
　　 *It :任何小于被定义IP的地址范围
　　 *Iteq :任何小于等于被定义IP的地址范围
　　 *gt :任何大于被定义IP地址的范围
　　 *eq :等于被定义的IP地址
　　 *neq :不等于被定义的IP地址
　　 *range :任何在定义范围内的IP地址
　　 *out of range :任何定义范围外的IP地址
　　 *self :ADSL/Ethernet Route自己的IP地址
　　 ·Dest IP Address：定义受限制的数据通信的目的IP地址（或范围）
　　 ·Protocol：定义受限制的协议种类，主要有：TCP、UDP、ICMP
　　 ·Store state：如果这个选项被勾选，则stateful filter将被执行，并且在一个IP会话期间这个规则将被应
　　 用到定义接口的其他数据方向上
　　 ·Source Port ：受限制主机的端口号（默认状态是无法改变的，除非在“Protocol”选项里选择了TCP或UTP作为协议）
　　 ·Dest Port：被限制访问的目的地址的端口号（默认状态是无法改变的，除非在“Protocol”选项里选择了TCP或UTP作为协议）
　　 ·TCP
　　 Flag：定义规则是否在TCP数据包中含有（SYN）同步信号时才被使用，如此项被选择，则此规则对于已经建立的TCP连接不起作用，而只对建立连接中的TCP数据包有效。
　　 ·ICMP Type/Code：定义ICMP数据包头中需要匹配的数值（0-255）。
　　 ·IP Frag Pkt：定义受限制的IP数据包是否包含IP碎片，默认是被忽略（Ignore）的。
　　 ·IP Option Pkt：定义受限制的IP数据包是否包含IP选项，默认是被忽略（Ignore）的。
　　 ·Packet Size：定义受限制数据包的大小。
　　 ·TOD Rule
　　 Status：定义前面设置的有效时间内，规则是否被匹配。如选择enable，则在规定时间内规则有效，如选择disalbe，则规定时间内规则将不起作用。
　　 三、应用举例
　　 §1、禁止访问特定网站：
　　 假设受限制网站的IP地址为：211.10.68.93（你可以通过ping命令得到某个网站的IP地址，但有的网站如sina、sohu等，同一个域名会对应几个IP地址，这时就会比较麻烦。不过好在这些网站大多都是不需要被限制的），内部局域网的IP地址范围是192.168.1.3—254，其中受限制地址为192.168.1.5--20。
　　 (1)Security Level（安全级别）－－-和全局设置级别一样的级别
　　 (2)Src IP Address－－－－－－－－-range 192.168.1.5 / 192.168.1.20
　　 (3)Dest IP Address－－－－－－－--eq 211.10.68.93
　　 (4)Protocol－－－－－－－－－－－-TCP
　　 (5)Source Port－－－－－－－－－－any
　　 (6)Dest Port－－－－－－－－－－－HTTP（或80）
　　 (7)TOD Rule Status－－－－－－－－enable
　　 没有涉及到的选项默认就可以了。这样192.168.1.5--20的主机就无法访问http://211.10.68.93mmkey.com了。
　　
　　 §xxxxxxxx、禁止使用迅雷的ADSL设置（在路由猫上封迅雷）：
　　 迅雷下载很变态，有时候会托跨整个网络，如果大家是共享上网，建议封掉迅雷端口3076,3077,3078 ，可以设定在人多的时候
　　 (1)Security Level（安全级别）－－-和全局设置级别一样的级别
　　 Direction－－－－－incoming
　　 (2)Src IP Address－－－－－－－－-any(根据自己情况，如果只限制某些地址，比如GT192.168.1.10只封大于10的地址)
　　 (3)Dest IP Address－－－－－－－--any
　　 (4)Protocol－－－－－－－－－－－-udp
　　 (5)Source Port－－－－－－－－－－any
　　 (6)Dest Port－－－－－－－－－－－3076(执行时间自己设定，比如只让它在晚上20：00-23：00执行)
　　 (7)TOD Rule Status－－－－－－－－enable
　　
　　 §2、禁止使用OICQ：
　　 由于腾讯服务器有多个，所以要设置多个规则才行。为方便大家使用，我把IP地址列在了下面，有变动的话，不要怪我哦^_*
　　 sz.tencent.com-----------61.144.238.145
　　 sz2.tencent.com----------61.144.238.146
　　 sz3.tencent.com----------202.104.129.251
　　 sz4.tencent.com----------202.104.129.254
　　 sz5.tencent.com----------61.141.194.203
　　 sz6.tencent.com----------202.104.129.252
　　 sz7.tencent.com----------202.104.129.253
　　 内部局域网的IP地址范围是192.168.1.3—254，其中受限制地址为192.168.1.5--20。
　　 设置方法：
　　 (1)Security Level（安全级别）－－-和全局设置级别一样的级别
　　 (2)Src IP Address－－－－－－－－-range 192.168.1.5 / 192.168.1.20
　　 (3)Dest IP Address－－－－－－－--range 61.144.238.145 / 61.144.238.146
　　 (4)Protocol－－－－－－－－－－－-UDP
　　 (5)Source Port－－－－－－－－－－range 4000 / 8000
　　 (6)Dest Port－－－－－－－－－－－range 4000 / 8000
　　 (7)TOD Rule Status－－－－－－－－enable
　　 没有涉及到的选项默认就可以了。这样192.168.1.5--20的主机就无法使用OICQ了，因为无法连接服务器了。不过这种配置方式对于qq会员不起作用，因为qq会员使用的服务器是使用http端口的，不过这个IP我就不知道了，你要自己去查:）
　　 用ql1880做虚拟服务器是如何来设置的？
　　 选择“Services”
　　 找到“NAT”设置页面，选择“NAT Options”下拉菜单中的NAT Rule Entry。
　　 点击“添加”设置一个新规则（rule）
　　
　　
　　
　　 1.Rule Flavor选择“RDR”
　　 2.设置一个"Rule ID"。值越小，优先级越高。
　　 3.IF Name（Interface Name）用来指定一个接口使用这个新的NAT规则
　　 4.Protocol选择“any”
　　 5.Local Address From 和 Local address To
　　 用来设置内网服务器地址，如果只有一台服务器，则可以将两个地址设为相同。
　　 6.Global Address From 和 Global Address To
　　 用来设置公网IP地址，这个地址也就是别人访问时用的地址。如果您是pppoe拨号上网的用户，您还要想办法找到电信动态给您分配的ip地址（在路由表里可以看到）。
　　 7.Destination Port From 和 Destination Port To
　　 用来设置被用户访问的公网端口，这个端口也就是别人访问时用的端口，如Http：80、Ftp：21等。
　　 8.Local Port
　　 用来设置本地内网服务器的端口，这个端口号可由本地服务器设置决定，可以是任一数字，例如可以将IIS服务器的某个站点端口设置为8383，然后再在Local
　　 Port中填入8383就好了。