前言:因为教育网连外网速度慢的原因,大学宿舍往往使用adsl modem路由+集线器的多机共享ADSL上网方式,有时甚至是几个宿舍共用一条线路上网,这种情况下多人使用BT软件往往容易断流现象。因为BT可以下载到最新的电影、软件,很多人都不分时段的下载,严重影响了大家的正常上QQ和在线游戏。因此我们要白天封住BT 下载,但是在深夜里打开,让BT软件可以正常使用。
以下我以 华硕AAM6000EV ADSL MODEM 为例 示范如何使用modem内的“IP过滤”禁止BT下载!
附加说明:
1、 这里谈到的端口,不是指大家经常提到的本机端口,而是远程端口
2、 这里只谈到TCP端口,UDP端口也比较常用,大家可以参考TCP端口的屏蔽方法,不过大家务必小心。
3、本方法仅研究软件outgoing(出局域情况)
首先我们要进入modem的web设置界面,此时你的IP必须是192.168.1.? 然后在在IE里输入
http://192.168.1.1然后输入用户和密码进入设置界面,(注意,如果你的modem修改过http的登陆端口 ,比如是61900 ,那么进入的地址是
http://192.168.1.1:61900)然后选择services(服务)---ip filter(IP 过滤)进入Ip过滤设置界面。(如图)
现在有两个解决方案
方案Ⅰ :开放大多数端口,仅屏蔽BT种子服务器的端口,使BT软件无法连接BT服务器获取IP列表,(如图)
如图,我们看到BT种子服务器经常使用的端口,比如6969 8000 8080 7070 7171 7373 等,我们可以封住6900 — 8100 的策略来实现封锁BT,具体操作如图
1、首先在Rule ID 中输入这个规则的编号,比如10,当编辑了多个规则的时候,系统按从小到大地执行,2、在Start Time和End Time里面输入规则生效的时间段,默认是24小时有效。3、Src IP Address 里填入局域网的IP地址段 range 192.168.1.2-192.168.1.255
4、protocol (端口类型)选择eq TCP 5、Dest port 选择端口段range 6900 -8100
然后“提交”返回设置主页.
保证Security Level 安全级别为low 低 ,而其它3项都为Accept 允许,然后再次提交使规则马上生效。现在BT软件已经无法使用了!因为BT软件根本无法连接到种子服务器。 (如果仍没生效,请重启modem)
因为BT种子服务器使用的新端口不断出现,方案Ⅰ不一定有效,要万全之策请看
方案Ⅱ :关闭大多数端口,开放常用端口,按时段开放BT种子服务器的端口,使BT软件在正常的事段运行。
1、先建立如下规则,在一定时段内只开放80端口,不在此时间段内打开所有端口(为防止封错80端口而无法访问modem,建议Src IP Address 里填写192.168.1.3 以便无法访问时候modem,可以把本机改成这个192.168.1.2后登陆modem)
2.因为考虑到邮件收发、游戏、流媒体播放、FTP下载等的需要,我们还要打开一些目的端口,比如21、25 、110、1700、2796等等,我在附件里推荐大家一个30多KB的端口查看工具Currport,它可以轻易知道你现在使用的网络软件需要那些端口。
3、如果你出现了网络软件无法正常使用,而又一时 不知道禁错了那个端口,我们需要让这些规则暂时失效,现在有一个很简单的方法。
把Security Level 改成由low改None后提交(禁止Ip过滤)即可!
IP过滤的参数说明:(参考TP-link说明书)
安全等级:安全级别,有高/中/低三个级别。当选择None,IP过滤被禁止。
Public Default Action:公网接口。
Private Default Action:私网接口。
DMZ Default Action:混合网接口。
全局设置为页面上部四个下拉菜单,分别是安全等级、Private Default Action、Public Default Action和DMZ Default Action,分别的具体含义如下:
1、 安全等级:
用来设定哪一种安全级别的IP过滤规则有效。例如:当High级别被选择,则仅仅安全级别为高的规则有效,如None被选择,IP过滤将被禁止。
2、 Private/Public/DMZ Default Action:
用来设定Private/Public/DMZ三种类别接口的缺省行为(允许/拒绝),这三种接口类型可以在创建接口(如 PPP接口等)时被设定。
(1)Public接口一般用于连接Internet。PPP、EoA和IPoA一般都是Public接口。在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像,除了在其他IP过滤规则中被允许的规则,其他所有从外网发起的访问内网(你的局域网)的请求都将被拒绝(被Public接口丢弃)。
(2)Private接口用于连接你的局域网(modem的以太口),在Private接口上收到的数据包几乎不受到防火墙限制,因为数据方向都是在你的局域网里。典型的,由内网发起的访问Internet的请求都是被允许的。
(3)DMZ(非军事区)涉及到公网用户访问内网服务器(虚拟服务器)的问题,默认这种访问是被禁止的。
在IP 过滤中点击添加,就可以对IP过滤作具体的设置。
Rule ID:规则的序号,最小序号最先执行.建议填5 或10 的倍数。
Action:当数据包符合规则时选择接受(发送数据包至目的地)或拒绝(放弃数据包)。
方向:Incoming 参考进入局域网的数据包。Outgoing参考出去局域网接口的数据包。
接口:对于规则生效的设备接口,如All/PPP-0 等。
In 接口:数据包被传送到被选择的接口,如All/PPP-0 等。
Log Option:在规则生效时是否建立历史纪录。
安全等级:有高/中/低三个级别。
Blacklist Status:确定是否将违反规则操作的计算机加到黑名单。
Log Tag:历史纪录的标签。
开始 /End Time:规则生效的时间范围。
源IP地址:发送源文件的计算机IP 地址,可以选择的规则包括:
Any:任何源IP 地址。 It:任何在数值上小于特定地址的源IP 地址。
Lteq:任何在数值上小于或等于特定地址的源IP 地址。 Gt:任何在数值上大于特定地址的源IP 地址。
Eq:任何在数值上等于特定地址的源IP 地址。 Neq: 任何在数值上不等于特定地址的源IP 地址。
Range:任何在数值上确定范围内的源IP 地址。 out of range:任何在数值上超出确定范围的源IP 地址。
self:对于这项规则生效的ADSL/以太网路由接口的IP 地址。
目的IP地址:目标计算机的IP 地址,除了Src IP 描述的规则外还包括:
Bcast: 确定规则将对于任何被送到接收接口的广播地址的数据包激活。
协议:对于规则必须符合的协议.如TCP/UDP/ICMP 等。
保存状态:存储状态。
源端口:数据包来源的计算机端口。
目的端口:目的计算机端口。
TCP Flag:确定规则是否适用于同步的TCP 数据包/非同步的数据包或是所有TCP 数据包。
ICMP Type:确定ICMP 数据包报头在等于/不等于或是所用的ICMP 数据包内被激活。
ICMP Code:确定ICMP 数据包的数据值。
IP Frag Pkt:确定规则是用于包含/不包含或是忽略包含碎片的IP 数据包。
IP Option Pkt:确定规则是用于包含/不包含或是忽略数据包报头的IP 数据包。
Packet Size:确定规则是否在某个数据包的文件字节大小范围内生效。
TOD Rule Status:确定规则是否在特定的时间范围内生效。
附件是pdf教程和端口查看器(可以下载的):
http://bbs.crsky.com/job.php?act ... 46710&aid=10123
[
Last edited by 佐罗 on 2005-3-13 at 08:31 ]
