简述局域网内用户的限制和反限制技巧

　　组建局域网络，的应用莫过于文档资源、音视频资源的共享以及打印机的共享。但为了方便网络的管理，往往会对局域网内用户进行一些使用权限的限制；比如限制局域网用户在某一时段禁止登录腾讯QQ、禁止访问服务器某文件夹等。但有时这些管理限制又会跟用户带来一些不便，这时要考虑的又是如何突破这些限制；本文所要带给大家的，就是这些方面的内容。

　　一、限制共享文件夹大小。在局域网服务器的操作系统分区，由于承担着服务处理以及系统管理的重任，一般都不放置其他文件以腾出足够的剩余空间；那么如何防止局域网其他用户乱存放文件到此分区呢？解决的办法就是使用磁盘配额功能。只要是Windows 2000及以上的操作系统，都具有磁盘配额功能；它可以在每一个硬盘分区中限制任意一个用户或者组的磁盘使用容量，当然也就能限制具体的共享文件夹。而要使用这一功能，必须同时具备三要素：Windows 2000以上操作系统、具有管理员权限、分区格式为NTFS.

　　Windows 2000默认安装了此功能，而Windows XP则需要手动安装。要设置配额时，打开"我的电脑",用鼠标右击要启用磁盘配额的磁盘分区或文件，然后单击"属性",在"属性"对话框中，单击"配额"选项卡。在"配额"选项卡中选中"启用配额管理"复选框，然后单击"应用"按钮。此时磁盘配额功能已经启用，再通过以下两点的设置，即可达到限制大小的目的：

　　（1）选中"拒绝将磁盘空间分配给超过配额限制的用户"复选框。这样超过其配额限制的用户将会被提示"磁盘空间不足".只有这样，磁盘容量限制的作用才能生效。

　　（2）输入具体的磁盘容量数据。即是说勾选"将磁盘空间限制为"选项，根据需要输入适当的数值即可。

　　反限制：由服务器方配置的磁盘配额选项，目前似乎还未找到一种成熟的破解办法。只能通过暴力的办法，在服务器上去除管理员账号，再重新自己配置一个管理员账号来修改配额选项；修改完成后再重新恢复以前的管理员账号，这样就可做到"神不知鬼不觉"。

    二、在"网上邻居"中隐藏计算机。有时为了限制别人随意通过网上邻居访问到某台电脑，可以将这台电脑在网上邻居中隐藏起来。要实现这种隐藏，比较简单的办法是在DOS命令提示符窗口中运行"net config server /hidden:yes"命令即可。

　　反限制：在网上邻居中隐藏计算机虽然可以实现，但并不代表就不能访问，只是给其他用户一个假象而已，他们仍然可以通过在浏览器或"我的电脑"的地址栏里输入"\\IP地址或计算机名"来找到。

　　三、基于包过滤的限制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ,做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。

　　这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO, FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32,MSN就可以上了。 这类限制就不起作用了。

　　四、基于端口的限制，限制了某些端口，极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。

　　这种限制可以通过以下办法突破：

　　1、找普通HTTP80端口的代理，12.34.56.78:80,象这样的，配合socks2http,把HTTP代理装换成SOCKS代理，然后再配合SocksCap32,就很容易突破了。这类突破办法中间走的代理未加密。通通通软件也有这个功能。

　　2、用类似FLAT软件，配合SocksCap32,不过所做的FLAT代理也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。

　　五、以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN,还有限制端口的情况。

　　一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。

　　六、还有一种情况就是你根本就不能上网，没给你上网的权限或者IP,或者做IP与MAC地址绑定了。

　　两个办法：

　　1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口其他能够支持这种方式代理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP,给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。

　　在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K,本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE,测试上网通过，速度很快，而且传输数据还是加密的，非常棒。

　　2、和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是你不要给网络管理员带来麻烦，不要影响局域网的正常运转。这可是的办法了。

　　另外，在局域网穿透防火墙，还有一个办法，就是用HTTPTUNNEL,用这个软件需要服务端做配合，要运行httptunnel的服务端，这种方法对局域网端口限制很有效。

　　隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。这类技术现在有些软件可以做到，HACKER经常用到这类技术。

　　HTTPTunnel,Tunnel这个英文单词的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点，就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包括两个程序，htc和hts,其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.1.231,我本地的机器的IP是192.168.1.226,现在我本地因为防火墙的原因无法连接到 FTP上，现在用HTTPTunnel的过程如下：

　　步：在我的机器上（192.168.1.226）启动HTTPTunnel客户端。

　　启动MS-DOS的命令行方式，然后执行htc -F 8888 192.168.1.231:80命令，其中htc是客户端程序，-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。

　　然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。

　　第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令

　　"hts -f localhost:21 80",这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

　　第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了。

　　可是，人家看到的怎么是127.0.0.1而不是192.168.1.231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

　　需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts,把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻！