2009-12-10 14:34:19 +0000 2009-12-10 14:34:19 +0000
20
20

toegang tot het lokale netwerk toestaan maar internettoegang blokkeren

Ik heb een netwerkcomputer die wordt gebruikt als een externe afdruk-/scanserver (die door meerdere gebruikers wordt gedeeld). Is er een manier waarop ik de internettoegang van de machine kan blokkeren, terwijl ik hem toch verbinding kan laten maken met ons lokale netwerk?

edit-

In wezen is het een Windows XP machine gedeeld door mijzelf en 5 anderen in mijn afdeling (een workaround om een scanner te delen zonder de aanschaf van een netwerk scanner) VNC server is ingesteld op de waarnemende ‘server’ computer en elke gebruiker maakt gebruik van een vnc-client om de machine te openen. De machine heeft zijn eigen account en ik wil de internet toegang uitschakelen. Is er een manier waarop ik alle internettoegang vanaf de computer zelf kan uitschakelen zonder de instellingen van het groepsbeleid te wijzigen?

Antwoorden (6)

9
9
9
2013-01-30 01:46:29 +0000

Standaardgateway in firewall blokkeren

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

is een goede methode omdat

  • in vergelijking met het veranderen van het
  • standaardgatewayadres in een ongeldig adres netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 er geen DHCP uitschakeling nodig is
  • DNS adres in een ongeldig adres netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no toegang zonder gebruik van DNS (b.v. http://74.125.224.72) wordt ook geblokkeerd
  • in vergelijking met route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 wordt de instelling opgeslagen
8
8
8
2009-12-10 14:52:11 +0000

Ik denk dat de eenvoudigste manier om dit te doen is om een verkeerde standaard gateway in te stellen.

1
1
1
2013-02-03 01:02:28 +0000

Ik heb de oplossing geprobeerd die @MaciekSawicki voorstelt, maar ik kreeg het niet aan de praat. Toen ik de standaard gateway op iets ongeldigs instelde, kon hij helemaal geen verbinding maken met het netwerk - zelfs niet met het lokale intranet.

In plaats daarvan kreeg ik dit voor elkaar door de verbinding op DHCP (of valide handmatige configuratie) te laten staan en de DNS handmatig in te stellen. De eerste DNS server heb ik ingesteld op een ongeldig IP adres (192.0.0.0) en de tweede heb ik leeg gelaten, zodat er geen domeinen kunnen worden herleid naar een IP adres. Dit betekent dat alles dat expliciet het IP gebruikt in plaats van een domeinnaam zal werken, maar dat alle namen zullen falen. Dit maakt het vrij nutteloos voor eindgebruikers die hun facebook proberen te controleren. Als u een lijst van domeinen wilt toevoegen die gebruikers kunnen oplossen, kunt u deze in een hosts bestand zetten. Zorg er wel voor dat het bijgewerkt blijft als IP adressen veranderen.

0
0
0
2009-12-10 18:44:10 +0000

Ik denk ook dat het veranderen van de default route in je router de truc zou moeten doen. Dit zal de router echter niet stoppen met routing, als er een naar de router wijst. Het wijzigen van de default route zoals gepubliceerd door de DHCP server zal alleen de default route verwijderen van de client computers. Iedereen die de route handmatig toevoegt, krijgt dan weer internettoegang. En het verwijderen van de default route VOOR DE ROUTER ZELF is misschien geen goed idee, omdat het de toegang tot het internet voor iedereen ontzegt.

Een andere oplossing zou routering op basis van het bron-IP kunnen zijn. Je zou de internettoegang kunnen blokkeren voor IP-adressen onder x.x.x.128, en andere adressen wel toestaan. Als je een Linux-gebaseerde router hebt, kun je dergelijke regels eenvoudig programmeren. Met een router zoals je die in de winkel koopt, kan dit een grotere uitdaging zijn.

Veel routers kunnen ook toegangsrechten hebben die op IP-bereik gebaseerd kunnen zijn. Controleer de configuratie van je eigen router. Of ga gewoon voor Linux!

0
0
0
2009-12-10 14:43:19 +0000

De makkelijkste manier om dit te doen (maar iedereen die technisch is kan het omzeilen) is om naar internet eigenschappen te gaan en de proxy te veranderen in iets onbestaands.

Anders dan dit, Als je geen intranet hebt, zou je kunnen kijken naar Windows Firewall (Als dit Vista + is, niet zeker of XP dit ondersteunt) en poort 80 uitgaand blokkeren.

Beide methodes kunnen worden tegengegaan als de machine niet vergrendeld is.

Persoonlijk, als er geen reden is voor gebruikers om hierop te zijn, anders dan hun programma’s, sluit het dan gewoon volledig af via groepsbeleid.

0
0
0
2009-12-10 14:39:17 +0000

Ik denk dat je dit op het niveau van de router kunt doen (afhankelijk van je QOS) en een regel kunt instellen om alle verkeer (uitgaand van LAN) voor die specifieke server/computer IP te BLOKKEREN.

Op die manier kan de server intern gewoon functioneren, maar de router zal alle externe toegang blokkeren/ontzeggen.