Mam komputer w sieci, który jest używany jako zdalny serwer drukowania / skanowania (który jest współużytkowany przez wielu użytkowników). Czy jest jakiś sposób, aby zablokować dostęp do Internetu maszynom, jednocześnie pozwalając mu na połączenie z naszą siecią lokalną?
edytować-
Zasadniczo jest to komputer z systemem Windows XP współdzielony przeze mnie i 5 innych osób w moim dziale (obejście polegające na udostępnianiu skanera bez zakupu skanera sieciowego) Serwer VNC jest skonfigurowany na działającym komputerze „serwerowym”, a każdy użytkownik korzysta z klienta vnc aby uzyskać dostęp do maszyny. Maszyna ma własne konto i chciałbym wyłączyć dostęp do Internetu. Czy istnieje sposób, aby wyłączyć cały dostęp do Internetu z samego komputera bez zmiany ustawień zasad grupy?
Odpowiedzi:
Jak dotąd najłatwiejszym sposobem (ale każdy może to obejść) jest po prostu przejście do właściwości Internetu i zmiana serwera proxy na coś nieistniejącego.
Poza tym, jeśli nie masz intranetu, możesz spojrzeć na Zaporę systemu Windows (jeśli jest to Vista +, nie jestem pewien, czy XP to obsługuje) i zablokować port wychodzący.
Obie te metody można przeciwdziałać, jeśli maszyna nie jest zablokowana.
Osobiście, jeśli nie ma powodu, aby użytkownicy korzystali z tego programu poza tymi programami, po prostu całkowicie zablokuj to za pomocą zasad grupy.
źródło
Zablokuj domyślną bramę w zaporze
jest dobrą metodą, ponieważ
netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0
nie wymaga wyłączenia DHCPnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no
dostępu do adresu bez korzystania z DNS (fehttp://74.125.224.72
) jest również blokowanyroute delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
ustawienia jest zapisywaneźródło
netsh advfirewall firewall delete "Block default gateway"
?netsh advfirewall firewall delete rule name="Block default gateway"
Myślę, że najprostszym sposobem na to jest ustawienie niewłaściwej domyślnej bramy.
źródło
Próbowałem rozwiązania zaproponowanego przez @MaciekSawicki, ale nie udało mi się go uruchomić. Kiedy ustawiłem domyślną bramę na coś nieprawidłowego, w ogóle nie była w stanie połączyć się z siecią - nawet z lokalnym intranetem.
Zamiast tego dokonałem tego, pozostawiając połączenie na DHCP (lub prawidłowej konfiguracji ręcznej) i ręcznie ustawiając DNS. Pierwszy serwer DNS ustawiłem na niepoprawny adres IP (
192.0.0.0
) i pozostawiłem drugi pusty, aby żadne domeny nie mogły zostać rozstrzygnięte na adres IP. Oznacza to, że wszystko, co jawnie używa adresu IP zamiast nazwy domeny, będzie działać, ale wszystkie nazwy zawiodą. To sprawia, że jest całkiem bezużyteczny dla użytkowników końcowych próbujących sprawdzić swojego facebooka. Jeśli chcesz dodać listę dozwolonych domen, które użytkownicy mogą rozwiązać, możesz umieścić je w pliku hosts . Pamiętaj tylko, aby aktualizować go, jeśli zmieni się adres IP.źródło
Myślę też, że zmiana domyślnej trasy w routerze powinna załatwić sprawę. Jednak nie powstrzyma to routera przed routingiem, jeśli jeden na to wskaże. Zmiana domyślnej trasy opublikowanej przez serwer DHCP usunie tylko domyślną trasę z komputerów klienckich. Każdy, kto doda trasę ręcznie, uzyska dostęp do Internetu. Usunięcie domyślnej trasy DLA SAMEGO RUTERA może nie być dobrym pomysłem, ponieważ uniemożliwia wszystkim dostęp do Internetu.
Innym rozwiązaniem może być routing na podstawie źródłowego adresu IP. Możesz zablokować dostęp do Internetu adresom IP pod xxx128, pozwalając innym. Jeśli masz router z systemem Linux, takie reguły można łatwo zaprogramować. W przypadku routera takiego jak ten, który kupujesz w sklepie, może to być większe wyzwanie.
Wiele routerów może również mieć uprawnienia dostępu, które mogą być oparte na zakresie adresów IP. Sprawdź własną konfigurację routera. Lub po prostu przejdź na Linuksa!
źródło
Wierzę, że możesz to zrobić na poziomie routera (w zależności od twojego QOS) i wprowadzić regułę BLOKUJĄC cały ruch (wychodzący poza LAN) dla tego konkretnego adresu IP serwera / komputera.
W ten sposób serwer może dobrze funkcjonować wewnętrznie, ale router upuści / odmówi dostępu z zewnątrz.
źródło