2009-12-10 14:34:19 +0000 2009-12-10 14:34:19 +0000
20
20

разрешение доступа к локальной сети при блокировке доступа в Интернет

У меня есть сетевой компьютер, который используется в качестве удаленного сервера печати/сканирования (который используется многими пользователями) Могу ли я каким-либо образом заблокировать компьютеры доступ в Интернет, одновременно разрешив им подключиться к нашей локальной сети?

редактирование -

По сути, это машина Windows XP, совместно используемая мной и 5 другими сотрудниками моего отдела (обходной путь для совместного использования сканера без покупки сканера с поддержкой сети). VNC сервер устанавливается на действующем ‘сервере’ компьютере, и каждый пользователь использует клиент vnc для доступа к машине. У машины есть своя учетная запись, и я хотел бы отключить доступ в интернет. Есть ли способ отключить весь доступ в интернет с самого компьютера без изменения настроек групповой политики?

Odpowiedzi (6)

9
9
9
2013-01-30 01:46:29 +0000

Блокировать шлюз по умолчанию в брандмауэре

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1
  • это хороший метод, потому что

  • по сравнению с изменением

  • адрес шлюза по умолчанию на недействительный адрес netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 это не требует отключения DHCP

  • DNS адрес на недействительный адрес netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no доступ без использования DNS (например, http://74.125.224.72) блокируется слишком

  • по сравнению с route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 настройка сохраняется

8
8
8
2009-12-10 14:52:11 +0000

Я думаю, что самый простой способ сделать это - установить неправильный шлюз по умолчанию.

1
1
1
2013-02-03 01:02:28 +0000

Я попробовал решение @MaciekSawicki предлагает, но не смог заставить его работать. Когда я установил шлюз по умолчанию на что-то неправильное, он вообще не мог подключиться к сети - даже к локальной интрасети.

Вместо этого я выполнил это, оставив подключение на DHCP (или valid manual config) и настроив DNS вручную. Первый DNS-сервер, я установил его на invalid IP-адрес (192.0.0.0), а второй оставил пустым, так что никакие домены не смогут быть преобразованы в IP-адреса. Это означает, что все, что явно использует IP вместо доменного имени, будет работать, но все имена будут неудачными. Это делает его довольно бесполезным для конечных пользователей, пытающихся проверить свою фейсбук. Если вы хотите добавить список разрешенных доменов, которые пользователи могут разрешать, вы можете поместить их в файл hosts . Просто убедитесь, что он обновляется при изменении IP-адресов.

0
0
0
2009-12-10 18:44:10 +0000

Я также думаю, что изменение маршрута по умолчанию в вашем роутере должно помочь. Однако, это не остановит маршрутизатор от маршрутизации, если на него указать. Изменение маршрута по умолчанию, опубликованного DHCP-сервером, удалит только маршрут по умолчанию с клиентских компьютеров. Любой, кто добавит маршрут вручную, получит обратно доступ в Интернет. И удаление маршрута по умолчанию для ROUTER ITSELF может быть не очень хорошей идеей, так как он запрещает доступ в Интернет для всех.

Другой вариант решения - маршрутизация на основе IP-адреса источника. Вы можете заблокировать доступ в Интернет для IP адресов под x.x.x.128, разрешив другим. Если у вас есть маршрутизатор на базе Linux, такие правила можно легко запрограммировать. С таким маршрутизатором, как тот, который вы покупаете в магазине, это может быть более сложной задачей.

Многие маршрутизаторы также могут иметь разрешения доступа, которые могут быть основаны на IP диапазоне. Проверьте собственную конфигурацию маршрутизатора. Или просто перейдите на Linux!

0
0
0
2009-12-10 14:43:19 +0000

Самый простой способ это сделать (но любой технический может обойти) - это просто зайти в свойства интернета и поменять прокси на что-то несуществующее.

Кроме этого, если у вас нет интрасети, вы можете посмотреть на брандмауэр Windows Firewall (если это Vista +, не уверен, что XP поддерживает это) и заблокировать исходящий порт 80.

Оба этих метода могут быть заблокированы, если машина не заблокирована.

Лично, если нет причин, по которым пользователи могут находиться на ней, кроме программ, просто полностью заблокируйте ее с помощью групповой политики.

0
0
0
2009-12-10 14:39:17 +0000

Я думаю, что вы могли бы сделать это на уровне маршрутизатора (в зависимости от вашего QOS) и установить правило BLOCK (БЛОКИРОВАТЬ весь трафик (исходящий из LAN) для этого конкретного IP сервера/компьютера.

Таким образом, сервер может нормально функционировать внутри, но маршрутизатор будет отключать / запрещать весь доступ извне.

Pytania pokrewne

12
3
4
3
2