[问题求助]layer7封QQ的问题 [复制链接]

iptables -A FORWARD -m state. --state ESTABLISHED,RELAT.ED   -j ACCEPT外贸
iptables -A .FORWARD -m layer7 --l7.proto qq -j DROP.
这个根本不能禁止QQ
把iptabl.es -A FORWARD -m state --stat.e ESTABLISHED,RELATED   -j ACCEPT.
去掉就可以了
但是这样的话，会有很多弊端
怎样.在iptables. -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT.有的情况下--- 印刷
禁止QQ呢？

QUOTE:原帖由 lovegqin 于 2006-10-23 13:06 发表
把iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT
去掉就可以了
但是这样的话，会有很多弊端

弊端？

是这样的
公司要求要一部分IP可以用QQ
我在以前的贴子里也问过类似的问题.
我说的弊端就是"公司要求要一部分IP可以用QQ"
用词不当不好意思!!!

把 iptables -A FORWARD -s 允许的IP -j ACCEPT 放到 state 状态检测那句前面

用户被禁言,该主题自动屏蔽!

不行啊，白金大哥。
我知道iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT这句是为了允许回流的数据。
如果没有这句那么QQ就不能上（当然是在其后面加上iptables -A FORWARD -m layer7 --l7proto qq -j DROP）
但是现在的问题是
iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto qq -j DROP
这样不能禁止QQ，更谈不上允许特殊IP可以上了。也就是说所有的IP都能上QQ
就因为有了iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT这句代码
但是没有它就所有的都上不了。
所以白金大哥说在state前面加上特殊允许的IP。这个办法不行
白金大哥，再帮帮忙吧

[ 本帖最后由 lovegqin 于 2006-10-23 14:10 编辑 ]

这种方式对执行这个语句之前的已经连接上的 QQ 无效，对从来没连接过的新的连接请求应该是有效的

再不行就这样
iptables -N VIP

iptables -A FORWARD -s IP -j VIP

iptables -A FORWARD -d IP -j VIP

iptables -A FORWARD -m layer7 --l7proto qq -j DROP

iptables -A VIP -j ACCEPT
复制代码
[ 本帖最后由 platinum 于 2006-10-23 14:12 编辑 ]

iptables -N kq
iptables -A FORWARD -s 192.168.0.32 -j kq
iptables -A FORWARD -d 192.168.0.32 -j kq
iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto qq -j DROP
iptables -A kq -j ACCEPT
我的IP是192.168.0.33
但是依然可以上
我把QQ卸载了，重新按装都不行

QUOTE:原帖由 lovegqin 于 2006-10-23 15:17 发表
iptables -N kq
iptables -A FORWARD -s 192.168.0.32 -j kq
iptables -A FORWARD -d 192.168.0.32 -j kq
iptables -A FORWARD -m state --state ESTABLISHED,RELATED   -j ACCEPT
iptables -A FORWARD -m la ...

你太马虎了，我上面没写 state 那句