разрешение доступа к локальной сети при блокировке доступа в Интернет

Блокировать шлюз по умолчанию в брандмауэре

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

• это хороший метод, потому что

• по сравнению с изменением

• адрес шлюза по умолчанию на недействительный адрес netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 это не требует отключения DHCP

• DNS адрес на недействительный адрес netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no доступ без использования DNS (например, http://74.125.224.72) блокируется слишком

• по сравнению с route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 настройка сохраняется

Я думаю, что самый простой способ сделать это - установить неправильный шлюз по умолчанию.

Я попробовал решение @MaciekSawicki предлагает, но не смог заставить его работать. Когда я установил шлюз по умолчанию на что-то неправильное, он вообще не мог подключиться к сети - даже к локальной интрасети.

Вместо этого я выполнил это, оставив подключение на DHCP (или valid manual config) и настроив DNS вручную. Первый DNS-сервер, я установил его на invalid IP-адрес (192.0.0.0), а второй оставил пустым, так что никакие домены не смогут быть преобразованы в IP-адреса. Это означает, что все, что явно использует IP вместо доменного имени, будет работать, но все имена будут неудачными. Это делает его довольно бесполезным для конечных пользователей, пытающихся проверить свою фейсбук. Если вы хотите добавить список разрешенных доменов, которые пользователи могут разрешать, вы можете поместить их в файл hosts . Просто убедитесь, что он обновляется при изменении IP-адресов.

Я также думаю, что изменение маршрута по умолчанию в вашем роутере должно помочь. Однако, это не остановит маршрутизатор от маршрутизации, если на него указать. Изменение маршрута по умолчанию, опубликованного DHCP-сервером, удалит только маршрут по умолчанию с клиентских компьютеров. Любой, кто добавит маршрут вручную, получит обратно доступ в Интернет. И удаление маршрута по умолчанию для ROUTER ITSELF может быть не очень хорошей идеей, так как он запрещает доступ в Интернет для всех.

Другой вариант решения - маршрутизация на основе IP-адреса источника. Вы можете заблокировать доступ в Интернет для IP адресов под x.x.x.128, разрешив другим. Если у вас есть маршрутизатор на базе Linux, такие правила можно легко запрограммировать. С таким маршрутизатором, как тот, который вы покупаете в магазине, это может быть более сложной задачей.

Многие маршрутизаторы также могут иметь разрешения доступа, которые могут быть основаны на IP диапазоне. Проверьте собственную конфигурацию маршрутизатора. Или просто перейдите на Linux!

Самый простой способ это сделать (но любой технический может обойти) - это просто зайти в свойства интернета и поменять прокси на что-то несуществующее.

Кроме этого, если у вас нет интрасети, вы можете посмотреть на брандмауэр Windows Firewall (если это Vista +, не уверен, что XP поддерживает это) и заблокировать исходящий порт 80.

Оба этих метода могут быть заблокированы, если машина не заблокирована.

Лично, если нет причин, по которым пользователи могут находиться на ней, кроме программ, просто полностью заблокируйте ее с помощью групповой политики.

Я думаю, что вы могли бы сделать это на уровне маршрутизатора (в зависимости от вашего QOS) и установить правило BLOCK (БЛОКИРОВАТЬ весь трафик (исходящий из LAN) для этого конкретного IP сервера/компьютера.

Таким образом, сервер может нормально функционировать внутри, но маршрутизатор будет отключать / запрещать весь доступ извне.