目前环境如下: 内网网段:192.168.10.0/24; 网关:192.168.10.254(在大楼物业处); 因此现在在内部做一个自己的网关,在上面做iptables策略. 今后内网网络更换为192.168.9.0/24;网关为192.168.9.254 笔记如下: [b]1.配置网关服务器网卡信息[/b]: [b]2.利用iptables设置NAT [/b] [b]3.利用iptables做策略限制QQ与MSN[/b] QQ服务器端口为:8000;客户端端口为:4000(开启第二个QQ时为4001,依次类推);均为UDP. MSN端口数较多:1863为登陆所需要的端口以及3000-4000等等;MSN服务器为gateway.messenger.hotmail.com. iptables -A FORWARD --protocol udp --dport 8000 -j REJECT //屏蔽QQ服务器 iptables -A FORWARD -d gateway.messenger.hotmail.com -j REJECT //屏蔽msn服务器 iptables -A FORWARD --protocol tcp --dport 1863 -j REJECT //屏蔽msn客户端端口 QQ的是source-port 4000，destination-port 8000 只需要在FORWARD里加入一条规则就可以 iptables -A FORWARD -i eth0 -p udp --dport 8000 -j DROP 这里的eth0是内网网卡. 要删了这条规则只需要输入: iptables -D FORWARD 1 这里的1是指它的序号 附: 封杀MSN的方法: