дозволяти доступ до локальної мережі при блокуванні доступу до Інтернету [дублікат]

У мене є мережевий комп’ютер, який використовується як віддалений сервер друку / сканування (яким поділяються численні користувачі) Чи є якийсь спосіб я заблокувати доступ до Інтернету на машинах, але все ще дозволяю йому підключатися до нашої локальної мережі?

редагувати-

По суті, його машина Windows XP поділилася між собою та 5 іншими людьми у моєму відділі (рішення щодо спільного використання сканера без придбання сканера з підтримкою мережі) VNC-сервер встановлюється на діючому "серверному" комп'ютері, і кожен користувач використовує клієнт vnc для доступу до машини. У машини є власний обліковий запис, і я хотів би відключити доступ до Інтернету. Чи є спосіб я відключити весь доступ до Інтернету з самого комп’ютера, не змінюючи налаштувань групової політики?

Найпростіший спосіб зробити це на сьогоднішній день (але будь-хто, хто може технічно обійти), це просто перейти до ресурсів Інтернету та змінити проксі на щось неіснуюче.

Крім цього, якщо у вас немає інтрамережі, ви можете подивитися на брандмауер Windows (якщо це Vista +, не впевнений, що XP підтримує це) та заблокувати порт 80 вихідних.

Обидва ці методи можна протидіяти, якщо машина не заблокована.

Особисто, якщо немає ніяких причин, щоб користувачі не мали інших програм, ніж там, просто повністю заблокуйте це через групову політику.

Блокуйте шлюз за замовчуванням у брандмауері

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

- хороший метод, оскільки

• порівняно зі зміною
  • адреса шлюзу за замовчуванням на недійсну адресу, для netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0цього не потрібно відключати DHCP
  • Адреса DNS до недійсного netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noдоступу до адреси без використання DNS (fe http://74.125.224.72) також заблокована
• порівняно route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1з налаштуванням зберігається

Я думаю, що найпростіший спосіб зробити це - встановити неправильний шлюз за замовчуванням.

Я спробував рішення @MaciekSawicki пропонує, але не зміг його працювати. Коли я встановив шлюз за замовчуванням на щось недійсне, він взагалі не зміг підключитися до мережі - навіть локальної інтранети.

Натомість я досяг цього, залишивши з'єднання на DHCP (чи дійсному конфігурації вручну) та встановивши DNS вручну. Перший DNS-сервер я встановив недійсну IP-адресу ( 192.0.0.0), а другий залишив порожнім, тому жоден домен не зможе бути вирішений до IP-адреси. Це означає, що все, що явно використовує IP замість доменного імені, буде працювати, але всі імена не вдасться. Це робить його досить марним для кінцевих користувачів, які намагаються перевірити свій facebook. Якщо ви хочете додати список дозволів доменів, які користувачі можуть вирішити, ви можете помістити їх у файл хостів . Просто не забудьте постійно оновлювати його, якщо змінити IP-адреси.

Я також думаю, що зміна маршруту за замовчуванням у вашому маршрутизаторі повинна зробити свою справу. Однак це не зупинить маршрутизатор від маршрутизації, якщо один вказує на нього. Зміна маршруту за замовчуванням, опублікованого сервером DHCP, видалить маршрут за замовчуванням лише з клієнтських комп'ютерів. Кожен, хто додасть маршрут вручну, отримає доступ до Інтернету назад. І видалити маршрут за замовчуванням ДЛЯ САМОГО МАРШРУТУ не може бути гарною ідеєю, оскільки він забороняє доступ до Інтернету для всіх.

Іншим рішенням може бути маршрутизація на основі джерела IP. Ви можете заблокувати доступ до Інтернету до IP-адрес під xxx128, дозволяючи іншим. Якщо у вас є маршрутизатор на базі Linux, такі правила легко запрограмувати. З таким маршрутизатором, як той, який ви купуєте в магазині, це може бути більшою проблемою.

Багато маршрутизатори також можуть мати права доступу, які можуть базуватися на IP-діапазоні. Перевірте власну конфігурацію маршрутизатора. Або просто перейдіть на Linux!

Я вважаю, що ви могли це зробити на рівні маршрутизатора (залежно від вашого QOS) і встановити правило БЛОКУВАТИ весь трафік (вихідний від локальної мережі) для цього конкретного сервера / комп'ютерного IP.

Таким чином сервер може функціонувати просто добре всередині, але маршрутизатор знизить / заборонить весь доступ зовні.