cho phép truy cập mạng cục bộ trong khi chặn truy cập internet [trùng lặp]

21

Câu hỏi này đã có câu trả lời ở đây:

Tôi có một máy tính nối mạng được sử dụng làm máy chủ in / quét từ xa (được chia sẻ bởi nhiều người dùng) Có cách nào tôi có thể chặn truy cập internet của máy trong khi vẫn cho phép kết nối với mạng cục bộ của chúng tôi không?

chỉnh sửa-

Về cơ bản, máy Windows XP của nó được chia sẻ giữa tôi và 5 người khác trong bộ phận của tôi (một cách giải quyết để chia sẻ máy quét mà không mua máy quét kích hoạt mạng) Máy chủ VNC được thiết lập trên máy tính 'máy chủ' hoạt động và mỗi người dùng đang sử dụng máy khách vnc để truy cập vào máy. Máy có tài khoản riêng và tôi muốn tắt truy cập internet. Có cách nào để tôi có thể vô hiệu hóa tất cả truy cập internet từ chính máy tính mà không thay đổi cài đặt chính sách nhóm không?

internet  blocking 
Jon
nguồn
4
Điều này thực sự có thể nhận được phản hồi tốt hơn trên ServerFault.
C. Ross
bạn có thể cho chúng tôi biết thêm chi tiết? HĐH nào trên máy tính nối mạng? thiết bị định tuyến / cổng trên mạng cục bộ là gì?
quack quixote

Câu trả lời:

1

Cách dễ nhất để làm điều này cho đến nay (nhưng bất kỳ ai kỹ thuật có thể bỏ qua) chỉ đơn giản là đi đến các thuộc tính internet và thay đổi proxy thành một cái gì đó không tồn tại.

Khác với điều này, nếu bạn không có mạng nội bộ, bạn có thể xem Tường lửa của Windows (Nếu đây là Vista +, không chắc XP hỗ trợ điều này) và chặn cổng 80 đi.

Cả hai phương pháp này đều có thể được chống lại nếu máy không bị khóa.

Cá nhân, nếu không có lý do gì để người dùng tham gia chương trình này ngoài các chương trình, chỉ cần khóa hoàn toàn thông qua chính sách nhóm.

William Hilsum
nguồn
6
-1: thay đổi proxy và chặn cổng 80 (không đề cập đến cổng 443, đối với HTTPS) có thể tắt trình duyệt web, nhưng "truy cập internet" không giới hạn đối với trình duyệt. +1: khóa thông qua chính sách nhóm là một gợi ý tốt.
quack quixote
tốt, chúng ta đang nói về một máy được sử dụng như một máy chủ cần người dùng truy cập - thông thường, thay đổi proxy hoặc chặn cổng 80 là đủ để khuyến khích mọi người sử dụng nó - thông thường, nếu họ mở IE và thấy trang không thể hiển thị, thế là đủ ! ... nhưng ít nhất tôi kết thúc bằng 0 chứ không phải -1 trong sách của bạn, vì vậy +1 từ tôi! :)
William Hilsum
có lẽ -1 được áp dụng tốt hơn cho câu hỏi vì không rõ ràng ...;)
quack quixote
9

Chặn cổng mặc định trong tường lửa

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

là một phương pháp tốt bởi vì

  • so với việc thay đổi
    • địa chỉ cổng mặc định đến một địa chỉ không hợp lệ, netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0nó không yêu cầu vô hiệu hóa DHCP
    • Địa chỉ DNS netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=notruy cập địa chỉ không hợp lệ mà không sử dụng DNS (fe http://74.125.224.72) cũng bị chặn
  • so với route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1cài đặt được lưu
John Peterson
nguồn
Có lẽ, để đảo ngược quy tắc này, chỉ là netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Tôi nghĩ cách đơn giản nhất để làm điều này là đặt cổng mặc định sai.

Maciek Sawicki
nguồn
3
hoặc loại bỏ hoàn toàn tuyến đường mặc định, vì vậy các IP duy nhất mà nó có thể định tuyến là các giao diện cục bộ của nó. mà không thử nghiệm tôi không chắc phương pháp nào sẽ hoạt động tốt hơn - Windows có thể thích được nói dối hơn. :)
quixote quixote
1

Tôi đã thử giải pháp @MaciekSawicki đề xuất, nhưng tôi không thể làm cho nó hoạt động được. Khi tôi đặt cổng mặc định thành một cái gì đó không hợp lệ, nó hoàn toàn không thể kết nối với mạng - ngay cả mạng nội bộ cục bộ.

Thay vào đó, tôi đã thực hiện điều này bằng cách để lại kết nối trên DHCP (hoặc cấu hình thủ công hợp lệ ) và đặt DNS theo cách thủ công. Máy chủ DNS đầu tiên, tôi đặt nó thành một địa chỉ IP không hợp lệ ( 192.0.0.0) và để trống địa chỉ thứ hai, do đó không có tên miền nào có thể được phân giải thành địa chỉ IP. Điều này có nghĩa là bất cứ điều gì sử dụng IP rõ ràng thay vì tên miền sẽ hoạt động, nhưng tất cả các tên sẽ thất bại. Điều này làm cho nó khá vô dụng đối với người dùng cuối đang cố kiểm tra facebook của họ. Nếu bạn muốn thêm danh sách cho phép các tên miền mà người dùng có thể giải quyết, bạn có thể đặt chúng vào tệp lưu trữ . Chỉ cần đảm bảo giữ cho nó được cập nhật nếu địa chỉ IP thay đổi.

Mike
nguồn
Điều này sẽ thất bại khi người dùng có thể và đủ thông minh để chỉnh sửa các máy chủ DNS cho giao diện mạng của mình.
klaar
@klaar Đó là sự thật. Đây là một máy trạm cụ thể mà tôi đã làm điều này mà chỉ tôi mới có quyền quản trị viên. Tôi cần nhân viên để có thể in, nhưng không truy cập internet trên thiết bị này và đây là những gì làm việc cho tôi. Nếu bạn cần thực hiện việc này ở quy mô lớn hơn, nơi một số khách hàng mà bạn không có quyền kiểm soát tuyệt đối không nên truy cập Internet thì giải pháp này rõ ràng sẽ không hiệu quả. Trong trường hợp đó, bạn có thể muốn sử dụng tường lửa trên máy chủ DHCP của mình để chỉ cấp quyền truy cập vào IP gateway cho các máy khách cụ thể dựa trên địa chỉ MAC của chúng.
Mike
0

Tôi cũng nghĩ rằng việc thay đổi tuyến đường mặc định trong bộ định tuyến của bạn sẽ thực hiện được mẹo. Tuy nhiên, điều này sẽ không ngăn bộ định tuyến định tuyến, nếu một điểm đến nó. Thay đổi tuyến mặc định như được xuất bản bởi máy chủ DHCP sẽ chỉ xóa tuyến mặc định khỏi máy khách. Bất cứ ai thêm tuyến thủ công sau đó sẽ có được quyền truy cập internet trở lại. Và loại bỏ tuyến đường mặc định CHO ROUTER ITSELF có thể không phải là một ý tưởng hay, vì nó từ chối truy cập internet cho tất cả mọi người.

Một giải pháp khác là định tuyến dựa trên IP nguồn. Bạn có thể chặn truy cập internet vào các địa chỉ IP dưới xxx128, cho phép người khác. Nếu bạn có bộ định tuyến dựa trên Linux, các quy tắc như vậy có thể dễ dàng được lập trình. Với một bộ định tuyến như những người bạn mua tại cửa hàng, đây có thể là một thách thức lớn hơn.

Nhiều bộ định tuyến cũng có thể có quyền truy cập có thể dựa trên phạm vi IP. Kiểm tra cấu hình bộ định tuyến của riêng bạn. Hoặc chỉ cần đi Linux!

jfmessier
nguồn
0

Tôi tin rằng bạn có thể làm điều này ở cấp bộ định tuyến (tùy thuộc vào QOS của bạn) và đặt quy tắc để BLOCK tất cả lưu lượng truy cập (mạng LAN ngoài luồng) cho IP máy chủ / máy tính cụ thể đó.

Bằng cách đó, máy chủ có thể hoạt động tốt trong nội bộ nhưng bộ định tuyến sẽ loại bỏ / từ chối tất cả các truy cập bên ngoài.

Jakub
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.