zezwalanie na dostęp do sieci lokalnej podczas blokowania dostępu do Internetu [duplikat]

21

Mam komputer w sieci, który jest używany jako zdalny serwer drukowania / skanowania (który jest współużytkowany przez wielu użytkowników). Czy jest jakiś sposób, aby zablokować dostęp do Internetu maszynom, jednocześnie pozwalając mu na połączenie z naszą siecią lokalną?

edytować-

Zasadniczo jest to komputer z systemem Windows XP współdzielony przeze mnie i 5 innych osób w moim dziale (obejście polegające na udostępnianiu skanera bez zakupu skanera sieciowego) Serwer VNC jest skonfigurowany na działającym komputerze „serwerowym”, a każdy użytkownik korzysta z klienta vnc aby uzyskać dostęp do maszyny. Maszyna ma własne konto i chciałbym wyłączyć dostęp do Internetu. Czy istnieje sposób, aby wyłączyć cały dostęp do Internetu z samego komputera bez zmiany ustawień zasad grupy?

Jon
źródło
4
To może faktycznie uzyskać lepszą odpowiedź na ServerFault.
C. Ross
czy możesz podać nam więcej szczegółów? jaki system operacyjny na komputerze w sieci? czym jest router / brama w sieci lokalnej?
szarlatan

Odpowiedzi:

1

Jak dotąd najłatwiejszym sposobem (ale każdy może to obejść) jest po prostu przejście do właściwości Internetu i zmiana serwera proxy na coś nieistniejącego.

Poza tym, jeśli nie masz intranetu, możesz spojrzeć na Zaporę systemu Windows (jeśli jest to Vista +, nie jestem pewien, czy XP to obsługuje) i zablokować port wychodzący.

Obie te metody można przeciwdziałać, jeśli maszyna nie jest zablokowana.

Osobiście, jeśli nie ma powodu, aby użytkownicy korzystali z tego programu poza tymi programami, po prostu całkowicie zablokuj to za pomocą zasad grupy.

William Hilsum
źródło
6
-1: zmiana serwerów proxy i blokowanie portu 80 (nie wspominając o porcie 443, dla HTTPS) może wyłączyć przeglądarkę internetową, ale „dostęp do Internetu” nie ogranicza się do przeglądarek. +1: blokowanie zasad grupy jest dobrą sugestią.
quack quixote
no cóż, mówimy o maszynie używanej jako serwer, który potrzebuje dostępu użytkownika - zwykle wystarczy zmienić serwer proxy lub zablokować port 80, aby zniechęcić ludzi do korzystania z niego - zazwyczaj, jeśli otwierają IE i widzą, że strona nie może zostać wyświetlona, ​​to wystarczy ! ... ale przynajmniej w twoich książkach mam 0, a nie -1, więc daj +1 ode mnie! :)
William Hilsum,
może -1 lepiej zastosować do pytania, ponieważ jest niejasne ...;)
quackote quackote
9

Zablokuj domyślną bramę w zaporze

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

jest dobrą metodą, ponieważ

  • w porównaniu do zmiany
    • domyślny adres bramy na niepoprawny adres netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0nie wymaga wyłączenia DHCP
    • Adres DNS do nieprawidłowego netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=nodostępu do adresu bez korzystania z DNS (fe http://74.125.224.72) jest również blokowany
  • w porównaniu do route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1ustawienia jest zapisywane
John Peterson
źródło
Przypuszczalnie, aby odwrócić tę zasadę, to po prostu netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson,
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Myślę, że najprostszym sposobem na to jest ustawienie niewłaściwej domyślnej bramy.

Maciek Sawicki
źródło
3
lub całkowicie usuń domyślną trasę, więc jedynymi adresami IP, które może trasować, są adresy jej lokalnych interfejsów. bez eksperymentów nie jestem pewien, które podejście działałoby lepiej - Windows może preferować okłamywanie. :)
quack quixote
1

Próbowałem rozwiązania zaproponowanego przez @MaciekSawicki, ale nie udało mi się go uruchomić. Kiedy ustawiłem domyślną bramę na coś nieprawidłowego, w ogóle nie była w stanie połączyć się z siecią - nawet z lokalnym intranetem.

Zamiast tego dokonałem tego, pozostawiając połączenie na DHCP (lub prawidłowej konfiguracji ręcznej) i ręcznie ustawiając DNS. Pierwszy serwer DNS ustawiłem na niepoprawny adres IP ( 192.0.0.0) i pozostawiłem drugi pusty, aby żadne domeny nie mogły zostać rozstrzygnięte na adres IP. Oznacza to, że wszystko, co jawnie używa adresu IP zamiast nazwy domeny, będzie działać, ale wszystkie nazwy zawiodą. To sprawia, że ​​jest całkiem bezużyteczny dla użytkowników końcowych próbujących sprawdzić swojego facebooka. Jeśli chcesz dodać listę dozwolonych domen, które użytkownicy mogą rozwiązać, możesz umieścić je w pliku hosts . Pamiętaj tylko, aby aktualizować go, jeśli zmieni się adres IP.

Mikrofon
źródło
Nie powiedzie się to, gdy użytkownik będzie w stanie i na tyle sprytnie edytować serwery DNS swojego interfejsu sieciowego.
klaar
@klaar To prawda. To była konkretna stacja robocza, na której robiłem to, tylko do której mam uprawnienia administratora. Potrzebowałem pracowników, aby móc drukować, ale nie mieć dostępu do Internetu na tym urządzeniu i to właśnie działało dla mnie. Jeśli potrzebujesz tego na większą skalę, gdzie kilku klientów, nad którymi nie masz absolutnej kontroli, nie powinno mieć dostępu do Internetu, to rozwiązanie oczywiście nie zadziała. W takim przypadku możesz użyć zapory ogniowej na serwerze DHCP, aby udzielić dostępu do adresu IP bramy tylko określonym klientom na podstawie ich adresów MAC.
Mike
0

Myślę też, że zmiana domyślnej trasy w routerze powinna załatwić sprawę. Jednak nie powstrzyma to routera przed routingiem, jeśli jeden na to wskaże. Zmiana domyślnej trasy opublikowanej przez serwer DHCP usunie tylko domyślną trasę z komputerów klienckich. Każdy, kto doda trasę ręcznie, uzyska dostęp do Internetu. Usunięcie domyślnej trasy DLA SAMEGO RUTERA może nie być dobrym pomysłem, ponieważ uniemożliwia wszystkim dostęp do Internetu.

Innym rozwiązaniem może być routing na podstawie źródłowego adresu IP. Możesz zablokować dostęp do Internetu adresom IP pod xxx128, pozwalając innym. Jeśli masz router z systemem Linux, takie reguły można łatwo zaprogramować. W przypadku routera takiego jak ten, który kupujesz w sklepie, może to być większe wyzwanie.

Wiele routerów może również mieć uprawnienia dostępu, które mogą być oparte na zakresie adresów IP. Sprawdź własną konfigurację routera. Lub po prostu przejdź na Linuksa!

jfmessier
źródło
0

Wierzę, że możesz to zrobić na poziomie routera (w zależności od twojego QOS) i wprowadzić regułę BLOKUJĄC cały ruch (wychodzący poza LAN) dla tego konkretnego adresu IP serwera / komputera.

W ten sposób serwer może dobrze funkcjonować wewnętrznie, ale router upuści / odmówi dostępu z zewnątrz.

Kuba
źródło