разрешение доступа к локальной сети при блокировке доступа в интернет [дубликат]

21

У меня есть сетевой компьютер, который используется в качестве удаленного сервера печати / сканирования (которым пользуются многие пользователи). Можно ли каким-либо образом заблокировать доступ компьютеров к Интернету, при этом позволяя подключаться к нашей локальной сети?

редактировать-

По сути, это машина с Windows XP, которой я и пять других сотрудников моего отдела поделились (обходной путь для совместного использования сканера без покупки сетевого сканера). Сервер VNC установлен на действующем «серверном» компьютере, и каждый пользователь использует клиент VNC. чтобы получить доступ к машине. У машины есть своя учетная запись и я бы хотел отключить доступ в интернет. Можно ли как-то отключить доступ к Интернету с самого компьютера без изменения параметров групповой политики?

internet blocking Джон
источник
4
Это может на самом деле получить лучший ответ на ServerFault.
К. Росс
Можете ли вы дать нам более подробную информацию? какая ОС на сетевом компьютере? Что такое маршрутизатор / шлюз в локальной сети?
шарлатан-кихот

Ответы:

1

На сегодняшний день самый простой способ сделать это (но любой технический специалист может обойти это) - просто зайти в свойства Интернета и изменить прокси-сервер на нечто несуществующее.

Кроме этого, если у вас нет интрасети, вы можете посмотреть на брандмауэр Windows (если это Vista +, не уверен, что XP поддерживает это) и заблокировать исходящий порт 80.

Оба этих метода могут быть отменены, если машина не заблокирована.

Лично, если у пользователей нет оснований для участия в этом, кроме как в своих программах, просто полностью заблокируйте его с помощью групповой политики.

Уильям Хилсум
источник
6
-1: изменение прокси и блокировка порта 80 (не говоря уже о порте 443 для HTTPS) может привести к отключению веб-браузера, но «доступ в Интернет» не ограничивается браузерами. +1: блокировка через групповую политику - хорошее предложение.
шарлатан-кихот
мы говорим о машине, используемой в качестве сервера, который нуждается в доступе пользователя - обычно достаточно изменить прокси-сервер или заблокировать порт 80, чтобы отговорить людей от его использования - обычно, если они открывают IE и видят, что страница не может быть отображена, этого достаточно ! ... но по крайней мере я получаю 0, а не -1 в ваших книгах, так что +1 от меня! :)
Уильям Хилсум
может быть, -1 лучше применять к вопросу за непонятность ...;)
кряканье quixote
9

Блокировать шлюз по умолчанию в брандмауэре

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

хороший метод, потому что

  • по сравнению с изменением
    • адрес шлюза по умолчанию в неверный адрес, netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0он не требует отключения DHCP
    • DNS-адрес к недействительному адресу netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noдоступ без использования DNS (например http://74.125.224.72) заблокирован тоже
  • по сравнению с route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1настройкой сохраняется
Джон Петерсон
источник
Предположительно, чтобы отменить это правило, это просто netsh advfirewall firewall delete "Block default gateway"?
Дэн Аткинсон
2
netsh advfirewall firewall delete rule name="Block default gateway"
Джон Петерсон
8

Я думаю, что самый простой способ сделать это - установить неверный шлюз по умолчанию.

Maciek Sawicki
источник
3
или полностью удалите маршрут по умолчанию, поэтому единственные IP-адреса, которые он может маршрутизировать, - это его локальные интерфейсы. без экспериментов я не уверен, какой подход будет работать лучше - Windows может предпочесть обмануть. :)
шарлатан-кихот
1

Я попробовал решение, предложенное @MaciekSawicki, но не смог заставить его работать. Когда я установил для шлюза по умолчанию что-то недопустимое, он вообще не смог подключиться к сети - даже к локальной интрасети.

Вместо этого я выполнил это, оставив соединение по DHCP (или действительной конфигурации вручную) и установив DNS вручную. На первом DNS-сервере я установил недопустимый IP-адрес ( 192.0.0.0), а второй оставил пустым, чтобы никакие домены не могли быть преобразованы в IP-адрес. Это означает, что все, что явно использует IP вместо имени домена, будет работать, но все имена потерпят неудачу. Это делает его довольно бесполезным для конечных пользователей, пытающихся проверить свой Facebook. Если вы хотите добавить список разрешенных доменов, которые могут разрешать пользователи, вы можете поместить их в файл hosts . Просто убедитесь, что он обновляется, если IP-адреса меняются.

Майк
источник
Это не удастся, когда пользователь сможет и достаточно умен для редактирования DNS-серверов для своего сетевого интерфейса.
Клар
@klaar Это правда. Это была специальная рабочая станция, на которой я делал это, только у меня есть права администратора. Мне нужно, чтобы сотрудники могли печатать, но не иметь доступа к Интернету на этом устройстве, и это то, что мне помогло. Если вам нужно сделать это в более широком масштабе, когда несколько клиентов, над которыми вы не имеете абсолютного контроля, не должны иметь доступа к Интернету, это решение, очевидно, не будет работать. В этом случае вы можете использовать брандмауэр на своем DHCP-сервере для предоставления доступа к IP-шлюзу только определенным клиентам на основе их MAC-адресов.
Майк
0

Я также думаю, что изменение маршрута по умолчанию в вашем маршрутизаторе должно помочь. Однако это не остановит маршрутизатор от маршрутизации, если на него указывают. Изменение маршрута по умолчанию, опубликованного сервером DHCP, удалит маршрут по умолчанию только с клиентских компьютеров. Любой, кто добавит маршрут вручную, получит доступ в Интернет. И удаление маршрута по умолчанию ДЛЯ САМОГО МАРШРУТА не может быть хорошей идеей, так как он запрещает доступ к Интернету для всех.

Другим решением может быть маршрутизация на основе исходного IP. Вы можете заблокировать доступ в Интернет к IP-адресам в xxx128, позволяя другим. Если у вас есть маршрутизатор на основе Linux, такие правила могут быть легко запрограммированы. С маршрутизатором, таким как те, которые вы покупаете в магазине, это может быть более сложной задачей.

Многие маршрутизаторы могут также иметь права доступа, которые могут быть основаны на диапазоне IP. Проверьте свою конфигурацию маршрутизатора. Или просто перейдите на Linux!

jfmessier
источник
0

Я полагаю, что вы могли бы сделать это на уровне маршрутизатора (в зависимости от вашего QOS) и включить правило, чтобы БЛОКИРОВАТЬ весь трафик (исходящий из локальной сети) для этого конкретного IP сервера / компьютера.

Таким образом, сервер может нормально функционировать внутри, но маршрутизатор отбросит / запретит весь доступ извне.

Якуб
источник