21

У меня есть сетевой компьютер, который используется в качестве удаленного сервера печати / сканирования (которым пользуются многие пользователи). Можно ли каким-либо образом заблокировать доступ компьютеров к Интернету, при этом позволяя подключаться к нашей локальной сети?

редактировать-

По сути, это компьютер под управлением Windows XP, которым я и пять других сотрудников моего отдела поделились (обходной путь для совместного использования сканера без покупки сетевого сканера). Сервер VNC установлен на действующем «серверном» компьютере, и каждый пользователь использует клиент VNC. чтобы получить доступ к машине. У машины есть своя учетная запись и я бы хотел отключить доступ в интернет. Можно ли как-то отключить доступ к Интернету с самого компьютера, не изменяя параметры групповой политики?

6 ответов6

9

Блокировать шлюз по умолчанию в брандмауэре

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

хороший метод, потому что

  • по сравнению с изменением
    • адрес шлюза по умолчанию для неверного адреса netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 не требует отключения DHCP
    • DNS-адрес к недействительному адресу. netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no доступа без использования DNS (например, http://74.125.224.72) тоже заблокирован
  • по сравнению с route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 настройка сохранена
8

Я думаю, что самый простой способ сделать это - установить неверный шлюз по умолчанию.

1

На данный момент самый простой способ сделать это (но любой технический специалист может обойти это) - просто зайти в свойства Интернета и изменить прокси-сервер на нечто несуществующее.

Кроме этого, если у вас нет интрасети, вы можете посмотреть на брандмауэр Windows (если это Vista +, не уверен, что XP поддерживает это) и заблокировать исходящий порт 80.

Оба эти метода могут быть отменены, если машина не заблокирована.

Лично, если у пользователей нет оснований для участия в этом, кроме как в этих программах, просто полностью заблокируйте его с помощью групповой политики.

1

Я попробовал решение, предложенное @MaciekSawicki, но не смог заставить его работать. Когда я установил для шлюза по умолчанию что-то недопустимое, он вообще не смог подключиться к сети - даже к локальной интрасети.

Вместо этого я выполнил это, оставив соединение по DHCP (или действительной конфигурации вручную) и установив DNS вручную. На первом DNS-сервере я установил неверный IP-адрес (192.0.0.0), а второй оставил пустым, чтобы ни один домен не мог быть преобразован в IP-адрес. Это означает, что все, что явно использует IP вместо имени домена, будет работать, но все имена потерпят неудачу. Это делает его довольно бесполезным для конечных пользователей, пытающихся проверить свой Facebook. Если вы хотите добавить список разрешенных доменов, которые могут разрешать пользователи, вы можете поместить их в файл hosts . Просто убедитесь, что он обновляется при изменении IP-адресов.

0

Я также думаю, что изменение маршрута по умолчанию в вашем маршрутизаторе должно помочь. Однако это не остановит маршрутизатор от маршрутизации, если на него указывают. Изменение маршрута по умолчанию, опубликованного сервером DHCP, удалит маршрут по умолчанию только с клиентских компьютеров. Любой, кто добавит маршрут вручную, получит доступ в Интернет. И удаление маршрута по умолчанию ДЛЯ САМОГО МАРШРУТА не может быть хорошей идеей, так как он запрещает доступ к Интернету для всех.

Другим решением может быть маршрутизация на основе исходного IP. Вы можете заблокировать доступ в Интернет к IP-адресам в xxx128, позволяя другим. Если у вас есть маршрутизатор на основе Linux, такие правила могут быть легко запрограммированы. С маршрутизатором, таким как те, которые вы покупаете в магазине, это может быть более сложной задачей.

Многие маршрутизаторы могут также иметь права доступа, которые могут быть основаны на диапазоне IP. Проверьте свою конфигурацию маршрутизатора. Или просто перейдите на Linux!

0

Я полагаю, что вы могли бы сделать это на уровне маршрутизатора (в зависимости от вашего QOS) и добавить правило, чтобы ЗАБЛОКИРОВАТЬ весь трафик (исходящий из локальной сети) для этого конкретного IP сервера / компьютера.

Таким образом, сервер может нормально функционировать внутри, но маршрутизатор отбросит / запретит весь доступ извне.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .