toegang tot het lokale netwerk toestaan maar internettoegang blokkeren

Standaardgateway in firewall blokkeren

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

is een goede methode omdat

• in vergelijking met het veranderen van het
• standaardgatewayadres in een ongeldig adres netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 er geen DHCP uitschakeling nodig is
• DNS adres in een ongeldig adres netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no toegang zonder gebruik van DNS (b.v. http://74.125.224.72) wordt ook geblokkeerd
• in vergelijking met route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 wordt de instelling opgeslagen

Ik denk dat de eenvoudigste manier om dit te doen is om een verkeerde standaard gateway in te stellen.

Ik heb de oplossing geprobeerd die @MaciekSawicki voorstelt, maar ik kreeg het niet aan de praat. Toen ik de standaard gateway op iets ongeldigs instelde, kon hij helemaal geen verbinding maken met het netwerk - zelfs niet met het lokale intranet.

In plaats daarvan kreeg ik dit voor elkaar door de verbinding op DHCP (of valide handmatige configuratie) te laten staan en de DNS handmatig in te stellen. De eerste DNS server heb ik ingesteld op een ongeldig IP adres (192.0.0.0) en de tweede heb ik leeg gelaten, zodat er geen domeinen kunnen worden herleid naar een IP adres. Dit betekent dat alles dat expliciet het IP gebruikt in plaats van een domeinnaam zal werken, maar dat alle namen zullen falen. Dit maakt het vrij nutteloos voor eindgebruikers die hun facebook proberen te controleren. Als u een lijst van domeinen wilt toevoegen die gebruikers kunnen oplossen, kunt u deze in een hosts bestand zetten. Zorg er wel voor dat het bijgewerkt blijft als IP adressen veranderen.

Ik denk ook dat het veranderen van de default route in je router de truc zou moeten doen. Dit zal de router echter niet stoppen met routing, als er een naar de router wijst. Het wijzigen van de default route zoals gepubliceerd door de DHCP server zal alleen de default route verwijderen van de client computers. Iedereen die de route handmatig toevoegt, krijgt dan weer internettoegang. En het verwijderen van de default route VOOR DE ROUTER ZELF is misschien geen goed idee, omdat het de toegang tot het internet voor iedereen ontzegt.

Een andere oplossing zou routering op basis van het bron-IP kunnen zijn. Je zou de internettoegang kunnen blokkeren voor IP-adressen onder x.x.x.128, en andere adressen wel toestaan. Als je een Linux-gebaseerde router hebt, kun je dergelijke regels eenvoudig programmeren. Met een router zoals je die in de winkel koopt, kan dit een grotere uitdaging zijn.

Veel routers kunnen ook toegangsrechten hebben die op IP-bereik gebaseerd kunnen zijn. Controleer de configuratie van je eigen router. Of ga gewoon voor Linux!

De makkelijkste manier om dit te doen (maar iedereen die technisch is kan het omzeilen) is om naar internet eigenschappen te gaan en de proxy te veranderen in iets onbestaands.

Anders dan dit, Als je geen intranet hebt, zou je kunnen kijken naar Windows Firewall (Als dit Vista + is, niet zeker of XP dit ondersteunt) en poort 80 uitgaand blokkeren.

Beide methodes kunnen worden tegengegaan als de machine niet vergrendeld is.

Persoonlijk, als er geen reden is voor gebruikers om hierop te zijn, anders dan hun programma’s, sluit het dan gewoon volledig af via groepsbeleid.

Ik denk dat je dit op het niveau van de router kunt doen (afhankelijk van je QOS) en een regel kunt instellen om alle verkeer (uitgaand van LAN) voor die specifieke server/computer IP te BLOKKEREN.

Op die manier kan de server intern gewoon functioneren, maar de router zal alle externe toegang blokkeren/ontzeggen.