紧急求救关于L7封QQ事情，管理员帮忙

开心WO

ROS软路由用于一个小公司
公司要求封住QQ/MSN等外部聊天工具，改天企业内部RTX 目前使用L7封住QQ了没有问题，结果RTX的特征码估计与QQ一致，结果是RTX也给封了 RTX登录外网的服务器地址只有一个，端口有5个现在想在封QQ前做一条策略，达到RTX可以正常登录不受封QQ这条策略影响，没有搞定，为了容易找出问题，把防火墙策略简化了，只留了三条。先贴出来
/ip firewall filter add action=accept chain=forward comment="允许RTX" disabled=no dst-address=61.X.X.X（RTX服务器地址） dst-port=8000,8003,8009,8010,8880 protocol=tcp add action=drop chain=forward comment="禁止QQ" disabled=no layer7-protocol=qq add action=accept chain=forward comment= "接受所有" disabled=no

这样不应该就可以让前面的RTX登录地址完全受信任不受影响吗？为什么RTX还是不能登录呢？在允许RTX和禁止QQ两个策略里都有看到包数增加。而且如果把接受所有策略移到封QQ策略前RTX和QQ又都可以登录了。 搞不太明白ROS软路由的策略到底是先允许还是拒绝优先，这个问题是不是很弱，还望高手解答。

允许RTX那一条与允许所有只差一个达到地址，把允许RTX那一条放在封QQ前或者后都无效。RTX登录与外网其它地址无关这一点可以肯定，肯定管理员给出解决办法。


补充：RTX需要的端口均为TCP：8000,8003,8009,8010,8883
在第一条把端口全删掉，结果也一样，
在封QQ那一条中，把RTX服务器地址排除，结果也一样，无耐求助

zhaowu328

L7是通过代码过滤，难道还有一样的代码？？？ 端口和QQ也有相同的。这样的东西麻烦。如果你放开8000端口，QQ还是会利用这个端口，干脆不用L7过滤，把所有的QQ服务器封掉。

sgqg

此论坛上有提供你所需要的QQ服务器地址列表，麻烦自己找一下吧

40shop

QQ有用到UDP端口 具体的忘记了

stggb

有找啊，在以前的贴子里有一个主题叫做：抛出QQ服务器地址的试一，QQ照样上啊，肯定是有更新的地址了，我自己用DNS查出了QQ的所有服务器地址，封上了好像是上不去了，不知道QQ还有那些代理服务器地址的，可能还要加封二级代理才可以完全做到吧。

batman7570

L7是通过代码过滤，难道还有一样的代码？？？ 端口和QQ也有相同的。这样的东西麻烦。如果你放开8000端口，QQ还是会利用这个端口，干脆不用L7过滤，把所有的QQ服务器封掉。
yus 发表于 2009-5-11 22:26

嗯，昨天想到一些办法，在处理L7过滤的时候排除RTX服务器址，似乎是有效的。
管理员说的也对，不过您能否提供一下详细的QQ服务器地址列表，我这里没有，网上也没找到最新的。非常感谢Ken_jia(at)foxmail(dot)com.