Ich habe einen vernetzten Computer, der als Remote-Druck- / Scan-Server verwendet wird (der von mehreren Benutzern gemeinsam genutzt wird). Kann ich den Internetzugriff des Geräts auf irgendeine Weise blockieren, ohne dass es weiterhin eine Verbindung zu unserem lokalen Netzwerk herstellen kann?
bearbeiten-
Im Wesentlichen handelt es sich um einen Windows XP-Computer, der von mir und 5 anderen in meiner Abteilung gemeinsam genutzt wird (eine Problemumgehung, um einen Scanner gemeinsam zu nutzen, ohne einen netzwerkfähigen Scanner zu erwerben). Der VNC-Server wird auf dem aktiven "Server" -Computer eingerichtet, und jeder Benutzer verwendet einen VNC-Client um auf die Maschine zuzugreifen. Das Gerät hat einen eigenen Account und ich möchte den Internetzugang deaktivieren. Kann ich den gesamten Internetzugang vom Computer aus deaktivieren, ohne die Gruppenrichtlinieneinstellungen zu ändern?
Antworten:
Der mit Abstand einfachste Weg, dies zu tun (aber jeder, der es technisch nicht kann, kann es umgehen), besteht darin, einfach die Internet-Eigenschaften aufzurufen und den Proxy in etwas Nichtexistierendes zu ändern.
Wenn Sie kein Intranet haben, können Sie sich die Windows-Firewall ansehen (wenn dies Vista + ist, kann XP dies nicht unterstützen) und den ausgehenden Port 80 blockieren.
Beiden Methoden kann entgegengewirkt werden, wenn die Maschine nicht gesperrt ist.
Wenn es keinen Grund für Benutzer gibt, sich in einem anderen Programm als diesem zu befinden, sperren Sie es einfach vollständig durch Gruppenrichtlinien.
quelle
Blockieren Sie das Standard-Gateway in der Firewall
ist eine gute Methode, weil
netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0
, für die keine DHCP-Deaktivierung erforderlich istnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no
ohne Verwendung von DNS (zBhttp://74.125.224.72
) wird ebenfalls gesperrtroute delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
einstellung wird gespeichertquelle
netsh advfirewall firewall delete "Block default gateway"
?netsh advfirewall firewall delete rule name="Block default gateway"
Ich denke, der einfachste Weg, dies zu tun, ist das Einstellen eines falschen Standard-Gateways.
quelle
Ich habe die von @MaciekSawicki vorgeschlagene Lösung ausprobiert, konnte sie jedoch nicht zum Laufen bringen. Wenn ich das Standardgateway auf einen ungültigen Wert eingestellt habe, konnte es überhaupt keine Verbindung zum Netzwerk herstellen - auch nicht zum lokalen Intranet.
Stattdessen habe ich die Verbindung über DHCP (oder eine gültige manuelle Konfiguration) hergestellt und den DNS manuell eingerichtet. Der erste DNS-Server hat eine ungültige IP-Adresse (
192.0.0.0
) und der zweite ist leer, sodass keine Domänen in eine IP-Adresse aufgelöst werden können. Dies bedeutet, dass alles, was explizit die IP anstelle eines Domainnamens verwendet, funktioniert, aber alle Namen fehlschlagen. Dies macht es für Endbenutzer, die versuchen, ihr Facebook zu überprüfen, ziemlich nutzlos. Wenn Sie eine Zulassungsliste von Domänen hinzufügen möchten, die Benutzer auflösen können, können Sie sie in eine Hosts- Datei einfügen. Stellen Sie einfach sicher, dass Sie es auf dem neuesten Stand halten, wenn sich die IP-Adressen ändern.quelle
Ich denke auch, dass das Ändern der Standardroute in Ihrem Router den Trick tun sollte. Dies hindert den Router jedoch nicht am Routing, wenn man darauf zeigt. Wenn Sie die vom DHCP-Server veröffentlichte Standardroute ändern, wird nur die Standardroute von den Clientcomputern entfernt. Jeder, der die Route manuell hinzufügt, erhält dann wieder Zugang zum Internet. Und das Entfernen der Standardroute FÜR DEN ROUTER selbst ist möglicherweise keine gute Idee, da dadurch der Zugang zum Internet für alle verweigert wird.
Eine andere Lösung könnte das Routing basierend auf der Quell-IP sein. Sie könnten den Internetzugriff auf IP-Adressen unter xxx128 blockieren und anderen erlauben. Wenn Sie einen Linux-basierten Router haben, können solche Regeln leicht programmiert werden. Bei einem Router wie dem, den Sie im Geschäft kaufen, ist dies möglicherweise eine größere Herausforderung.
Viele Router verfügen möglicherweise auch über Zugriffsberechtigungen, die auf dem IP-Bereich basieren können. Überprüfen Sie Ihre eigene Routerkonfiguration. Oder geh einfach auf Linux!
quelle
Ich glaube, Sie könnten dies auf der Router-Ebene tun (abhängig von Ihrer QOS) und eine Regel festlegen, um den gesamten Datenverkehr (ausgehend vom LAN) für diesen bestimmten Server / Computer-IP zu blockieren.
Auf diese Weise kann der Server intern einwandfrei funktionieren, aber der Router lehnt den Zugriff von außen ab bzw. verweigert ihn.
quelle