consentire l'accesso alla rete locale mentre si blocca l'accesso a Internet [duplicato]

21

Ho un computer in rete che viene utilizzato come server di stampa / scansione remoto (che è condiviso da numerosi utenti) Esiste un modo per bloccare l'accesso a Internet delle macchine pur consentendogli di connettersi alla nostra rete locale?

modificare-

Essenzialmente, è una macchina Windows XP condivisa tra me e altri 5 nel mio reparto (una soluzione alternativa per condividere uno scanner senza acquistare uno scanner abilitato alla rete) Il server VNC è impostato sul computer "server" funzionante e ogni utente utilizza un client VNC per accedere alla macchina. La macchina ha un proprio account e vorrei disabilitare l'accesso a Internet. Esiste un modo per disabilitare tutto l'accesso a Internet dal computer stesso senza modificare le impostazioni dei criteri di gruppo?

internet  blocking 
Jon
fonte
4
Questo potrebbe effettivamente ottenere una risposta migliore su ServerFault.
C. Ross,
puoi darci maggiori dettagli? quale sistema operativo sul computer in rete? qual è il dispositivo router / gateway sulla rete locale?
Quack Quixote,

Risposte:

1

Il modo più semplice per farlo di gran lunga (ma chiunque tecnico potrebbe bypassarlo) è semplicemente andare alle proprietà di Internet e cambiare il proxy in qualcosa di inesistente.

Oltre a questo, se non si dispone di intranet, è possibile guardare Windows Firewall (se questo è Vista +, non sono sicuro che XP lo supporti) e bloccare la porta 80 in uscita.

Entrambi questi metodi possono essere contrastati se la macchina non è bloccata.

Personalmente, se non c'è motivo per gli utenti di partecipare a questo oltre ai programmi, basta bloccarlo completamente attraverso i criteri di gruppo.

William Hilsum
fonte
6
-1: la modifica dei proxy e il blocco della porta 80 (per non parlare della porta 443, per HTTPS) potrebbero arrestare un browser Web, ma "l'accesso a Internet" non è limitato ai browser. +1: il blocco tramite criteri di gruppo è un buon suggerimento.
Quack Quixote,
bene, stiamo parlando di una macchina utilizzata come server che necessita dell'accesso dell'utente - di solito, cambiare proxy o bloccare la porta 80 è sufficiente per scoraggiare le persone dall'usarlo - in genere, se aprono IE e vedono la pagina non può essere visualizzata, è sufficiente ! ... ma almeno finisco con uno 0 e non con un -1 nei tuoi libri, quindi +1 da parte mia! :)
William Hilsum il
forse il -1 è meglio applicato alla domanda per essere poco chiaro ...;)
Quack Quixote
9

Blocca gateway predefinito nel firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

è un buon metodo perché

  • rispetto a cambiare il
    • indirizzo gateway predefinito a un indirizzo netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0non valido che non richiede la disabilitazione DHCP
    • Anche l'indirizzo DNS a un netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noaccesso di indirizzo non valido senza utilizzare DNS (fe http://74.125.224.72) è bloccato
  • rispetto route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1all'impostazione viene salvata
John Peterson
fonte
Presumibilmente, per invertire questa regola, è giusto netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson,
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson,
8

Penso che il modo più semplice per farlo sia impostare un gateway predefinito errato.

Maciek Sawicki
fonte
3
o rimuovere completamente la route predefinita, quindi gli unici IP che può instradare sono quelli delle sue interfacce locali. senza sperimentare non sono sicuro di quale approccio funzionerebbe meglio - Windows potrebbe preferire essere mentito. :)
Quack Quixote il
1

Ho provato la soluzione proposta da @MaciekSawicki, ma non sono riuscito a farlo funzionare. Quando ho impostato il gateway predefinito su qualcosa di non valido, non è stato in grado di connettermi alla rete, nemmeno alla rete locale.

Invece, l'ho realizzato lasciando la connessione su DHCP (o configurazione manuale valida ) e impostando il DNS manualmente. Il primo server DNS, l'ho impostato su un indirizzo IP non valido ( 192.0.0.0) e ho lasciato il secondo vuoto, quindi nessun dominio potrà essere risolto in un indirizzo IP. Ciò significa che tutto ciò che utilizza esplicitamente l'IP anziché un nome di dominio funzionerà, ma tutti i nomi falliranno. Ciò lo rende piuttosto inutile per gli utenti finali che cercano di controllare il proprio Facebook. Se si desidera aggiungere un elenco consentito di domini che gli utenti possono risolvere, è possibile inserirli in un file hosts . Assicurati di tenerlo aggiornato se gli indirizzi IP cambiano.

Mike
fonte
Questo fallirà quando l'utente sarà abbastanza abile e intelligente da modificare i server DNS per la sua interfaccia di rete.
klaar,
@klaar Questo è vero. Questa era una workstation specifica su cui stavo facendo ciò su cui solo io ho i diritti di amministratore. Avevo bisogno che i dipendenti potessero stampare, ma non accedere a Internet su questo dispositivo e questo è ciò che ha funzionato per me. Se è necessario che ciò avvenga su una scala più ampia in cui diversi client su cui non si ha il controllo assoluto non dovrebbero essere in grado di accedere a Internet, questa soluzione ovviamente non funzionerebbe. In tal caso, potresti voler utilizzare un firewall sul tuo server DHCP per concedere l'accesso all'IP del gateway solo a client specifici in base ai loro indirizzi MAC.
Mike,
0

Penso anche che cambiare il percorso predefinito nel tuo router dovrebbe fare il trucco. Tuttavia, ciò non interromperà il routing del router, se uno lo punta. La modifica della route predefinita come pubblicata dal server DHCP rimuoverà solo la route predefinita dai computer client. Chiunque aggiunga manualmente il percorso otterrà nuovamente l'accesso a Internet. E rimuovere la route predefinita PER IL ROUTER SE STESSO potrebbe non essere una buona idea, in quanto nega l'accesso a Internet per tutti.

Un'altra soluzione potrebbe essere il routing basato sull'IP di origine. È possibile bloccare l'accesso a Internet agli indirizzi IP in xxx128, consentendo ad altri. Se si dispone di un router basato su Linux, è possibile programmare facilmente tali regole. Con un router come quelli che acquisti nel negozio, questa potrebbe essere una sfida più grande.

Molti router possono anche disporre di autorizzazioni di accesso che possono essere basate sull'intervallo IP. Controlla la tua configurazione del router. O semplicemente vai su Linux!

jfmessier
fonte
0

Credo che potresti farlo a livello di router (a seconda del tuo QOS) e inserire una regola per BLOCCARE tutto il traffico (in uscita dalla LAN) per quel determinato IP server / computer.

In questo modo il server può funzionare bene internamente ma il router lascerà / negherà ogni accesso esternamente.

Jakub
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.