memungkinkan akses jaringan lokal sambil memblokir akses internet [duplikat]

21

Saya memiliki komputer berjaringan yang digunakan sebagai server cetak / pindai jarak jauh (yang dibagikan oleh banyak pengguna) Apakah ada cara saya dapat memblokir akses internet mesin sambil masih memungkinkannya terhubung ke jaringan lokal kami?

sunting-

Pada dasarnya, ini adalah mesin Windows XP yang dibagi antara saya dan 5 orang lain di departemen saya (solusi untuk berbagi pemindai tanpa membeli pemindai yang diaktifkan jaringan) Server VNC diatur pada komputer 'server' yang bertindak dan setiap pengguna menggunakan klien vnc untuk mengakses mesin. Mesin memiliki akun sendiri dan saya ingin menonaktifkan akses internet. Apakah ada cara saya dapat menonaktifkan semua akses internet dari komputer itu sendiri tanpa mengubah pengaturan kebijakan grup?

Jon
sumber
4
Ini mungkin benar-benar mendapatkan respons yang lebih baik pada ServerFault.
C. Ross
dapatkah Anda memberi kami detail lebih lanjut? OS apa di komputer jaringan? apa perangkat router / gateway di jaringan lokal?
quack quixote

Jawaban:

1

Cara termudah untuk melakukan ini sejauh ini (tetapi siapa pun yang teknis dapat mem-bypass) adalah dengan pergi ke properti internet dan mengubah proxy menjadi sesuatu yang tidak ada.

Selain ini, Jika Anda tidak memiliki intranet, Anda dapat melihat Windows Firewall (Jika ini Vista +, tidak yakin XP mendukung ini) dan memblokir port 80 keluar.

Kedua metode ini dapat dilawan jika mesin tidak dikunci.

Secara pribadi, jika tidak ada alasan bagi pengguna untuk mengikuti program ini selain dari sana, cukup kunci sepenuhnya melalui kebijakan grup.

William Hilsum
sumber
6
-1: mengubah proxy dan memblokir port 80 (belum lagi port 443, untuk HTTPS) mungkin mematikan browser web, tetapi "akses internet" tidak terbatas pada browser. +1: mengunci melalui kebijakan grup adalah saran yang bagus.
quack quixote
baik, kita berbicara tentang mesin yang digunakan sebagai server yang membutuhkan akses pengguna - biasanya, mengubah proxy atau memblokir port 80 sudah cukup untuk mencegah orang menggunakannya - biasanya, jika mereka membuka IE dan melihat halaman tidak dapat ditampilkan, itu sudah cukup ! ... tapi setidaknya saya berakhir dengan 0 dan bukan -1 di buku Anda, jadi +1 dari saya! :)
William Hilsum
mungkin -1 lebih baik diterapkan untuk pertanyaan karena tidak jelas ...;)
dukun quixote
9

Blokir gateway default di firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

adalah metode yang bagus karena

  • dibandingkan dengan mengubah
    • alamat gateway default ke alamat yang tidak valid netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0tidak memerlukan DHCP untuk menonaktifkan
    • Alamat DNS ke netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noakses alamat yang tidak valid tanpa menggunakan DNS (fe http://74.125.224.72) juga diblokir
  • dibandingkan dengan route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1pengaturan disimpan
John Peterson
sumber
Agaknya, untuk membalikkan aturan ini, hanya saja netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Saya pikir cara paling sederhana untuk melakukan ini adalah dengan menetapkan gateway default yang salah.

Maciek Sawicki
sumber
3
atau menghapus rute default seluruhnya, sehingga IP yang dapat dirutekaninya hanyalah yang dari antarmuka lokalnya. tanpa bereksperimen saya tidak yakin pendekatan mana yang akan bekerja lebih baik - Windows mungkin lebih suka dibohongi. :)
quack quixote
1

Saya mencoba solusi yang diusulkan oleh @MaciekSawicki, tetapi saya tidak berhasil. Ketika saya mengatur gateway default ke sesuatu yang tidak valid, itu tidak dapat terhubung ke jaringan sama sekali - bahkan intranet lokal.

Sebagai gantinya, saya menyelesaikan ini dengan meninggalkan koneksi pada DHCP (atau konfigurasi manual yang valid ) dan dan mengatur DNS secara manual. Server DNS pertama, saya mengaturnya ke alamat IP yang tidak valid ( 192.0.0.0) dan membiarkan yang kedua kosong, jadi tidak ada domain yang dapat diselesaikan ke alamat IP. Ini berarti bahwa segala sesuatu yang secara eksplisit menggunakan IP bukan nama domain akan berfungsi, tetapi semua nama akan gagal. Ini membuatnya sangat tidak berguna bagi pengguna akhir yang mencoba memeriksa facebook mereka. Jika Anda ingin menambahkan daftar izin domain yang dapat diselesaikan pengguna, Anda dapat menempatkannya di file host . Pastikan untuk selalu memperbaruinya jika alamat IP berubah.

Mike
sumber
Ini akan gagal ketika pengguna mampu dan cukup pintar untuk mengedit server DNS untuk antarmuka jaringannya.
klaar
@ klaar Itu benar. Ini adalah workstation spesifik yang saya lakukan ini karena hanya saya yang memiliki hak administrator untuk melakukannya. Saya membutuhkan karyawan untuk dapat mencetak, tetapi tidak mengakses internet pada perangkat ini dan inilah yang bekerja untuk saya. Jika Anda perlu ini dilakukan pada skala yang lebih besar di mana beberapa klien yang Anda tidak memiliki kendali mutlak atas tidak dapat mengakses Internet, solusi ini jelas tidak akan berfungsi. Dalam hal ini Anda mungkin ingin menggunakan firewall di server DHCP Anda untuk memberikan akses ke gateway IP hanya untuk klien tertentu berdasarkan alamat MAC mereka.
Mike
0

Saya juga berpikir bahwa mengubah rute default di router Anda harus melakukan trik. Namun, ini tidak akan menghentikan perute dari perutean, jika ada yang menunjuk. Mengubah rute default yang dipublikasikan oleh server DHCP hanya akan menghapus rute default dari komputer klien. Siapa pun yang menambahkan rute secara manual akan mendapatkan kembali akses internet. Dan menghapus rute default UNTUK ROUTER SENDIRI mungkin bukan ide yang baik, karena itu menolak akses ke internet untuk semua orang.

Solusi lain mungkin routing berdasarkan IP sumber. Anda dapat memblokir akses internet ke alamat IP di bawah xxx128, memungkinkan orang lain. Jika Anda memiliki router berbasis Linux, aturan seperti itu dapat dengan mudah diprogram. Dengan router seperti yang Anda beli di toko, ini mungkin tantangan yang lebih besar.

Banyak router mungkin juga memiliki izin akses yang dapat didasarkan pada rentang IP. Periksa konfigurasi router Anda sendiri. Atau langsung saja Linux!

jfmessier
sumber
0

Saya percaya Anda bisa melakukan ini di tingkat router (tergantung pada Anda QOS) dan dimasukkan ke dalam aturan untuk BLOK semua lalu lintas (keluar LAN) untuk server / komputer IP tertentu.

Dengan cara itu server dapat berfungsi dengan baik secara internal tetapi router akan menjatuhkan / menolak semua akses secara eksternal.

Jakub
sumber