Zulassen des lokalen Netzwerkzugriffs beim Blockieren des Internetzugriffs [duplizieren]

21

Ich habe einen vernetzten Computer, der als Remote-Druck- / Scan-Server verwendet wird (der von mehreren Benutzern gemeinsam genutzt wird). Kann ich den Internetzugriff des Geräts auf irgendeine Weise blockieren, ohne dass es weiterhin eine Verbindung zu unserem lokalen Netzwerk herstellen kann?

bearbeiten-

Im Wesentlichen handelt es sich um einen Windows XP-Computer, der von mir und 5 anderen in meiner Abteilung gemeinsam genutzt wird (eine Problemumgehung, um einen Scanner gemeinsam zu nutzen, ohne einen netzwerkfähigen Scanner zu erwerben). Der VNC-Server wird auf dem aktiven "Server" -Computer eingerichtet, und jeder Benutzer verwendet einen VNC-Client um auf die Maschine zuzugreifen. Das Gerät hat einen eigenen Account und ich möchte den Internetzugang deaktivieren. Kann ich den gesamten Internetzugang vom Computer aus deaktivieren, ohne die Gruppenrichtlinieneinstellungen zu ändern?

Jon
quelle
4
Dies könnte tatsächlich zu einer besseren Reaktion auf ServerFault führen.
C. Ross
Kannst du uns mehr Details geben? Welches Betriebssystem auf dem vernetzten Computer? Was ist der Router / Gateway-Gerät im lokalen Netzwerk?
Quacksalber 10.

Antworten:

1

Der mit Abstand einfachste Weg, dies zu tun (aber jeder, der es technisch nicht kann, kann es umgehen), besteht darin, einfach die Internet-Eigenschaften aufzurufen und den Proxy in etwas Nichtexistierendes zu ändern.

Wenn Sie kein Intranet haben, können Sie sich die Windows-Firewall ansehen (wenn dies Vista + ist, kann XP dies nicht unterstützen) und den ausgehenden Port 80 blockieren.

Beiden Methoden kann entgegengewirkt werden, wenn die Maschine nicht gesperrt ist.

Wenn es keinen Grund für Benutzer gibt, sich in einem anderen Programm als diesem zu befinden, sperren Sie es einfach vollständig durch Gruppenrichtlinien.

William Hilsum
quelle
6
-1: Das Ändern des Proxys und das Blockieren von Port 80 (ganz zu schweigen von Port 443 für HTTPS) kann dazu führen, dass ein Webbrowser heruntergefahren wird. Der Internetzugriff ist jedoch nicht auf Browser beschränkt. +1: Sperren durch Gruppenrichtlinien ist ein guter Vorschlag.
Quacksalber 10.
Nun, es handelt sich um einen Computer, der als Server verwendet wird, der Benutzerzugriff benötigt. In der Regel reicht es aus, den Proxy zu ändern oder Port 80 zu blockieren, um die Benutzer davon abzuhalten, ihn zu verwenden. In der Regel ist dies ausreichend, wenn der IE geöffnet und die Seite nicht angezeigt wird ! ... aber zumindest habe ich eine 0 und keine -1 in deinen Büchern, also +1 von mir! :)
William Hilsum
vielleicht ist die -1 besser auf die
frage
9

Blockieren Sie das Standard-Gateway in der Firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

ist eine gute Methode, weil

  • im Vergleich zum Ändern der
    • Standard-Gateway-Adresse zu einer ungültigen Adresse netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0, für die keine DHCP-Deaktivierung erforderlich ist
    • DNS-Adresse zu einem ungültigen Adresszugriff netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noohne Verwendung von DNS (zB http://74.125.224.72) wird ebenfalls gesperrt
  • im vergleich zur route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1einstellung wird gespeichert
John Peterson
quelle
Vermutlich, um diese Regel umzukehren, ist es nur netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Ich denke, der einfachste Weg, dies zu tun, ist das Einstellen eines falschen Standard-Gateways.

Maciek Sawicki
quelle
3
oder entfernen Sie die Standardroute vollständig, sodass die einzigen IPs, die geroutet werden können, die der lokalen Schnittstellen sind. Ohne zu experimentieren bin ich mir nicht sicher, welcher Ansatz besser funktionieren würde - Windows könnte es vorziehen, angelogen zu werden. :)
Quack Quixote
1

Ich habe die von @MaciekSawicki vorgeschlagene Lösung ausprobiert, konnte sie jedoch nicht zum Laufen bringen. Wenn ich das Standardgateway auf einen ungültigen Wert eingestellt habe, konnte es überhaupt keine Verbindung zum Netzwerk herstellen - auch nicht zum lokalen Intranet.

Stattdessen habe ich die Verbindung über DHCP (oder eine gültige manuelle Konfiguration) hergestellt und den DNS manuell eingerichtet. Der erste DNS-Server hat eine ungültige IP-Adresse ( 192.0.0.0) und der zweite ist leer, sodass keine Domänen in eine IP-Adresse aufgelöst werden können. Dies bedeutet, dass alles, was explizit die IP anstelle eines Domainnamens verwendet, funktioniert, aber alle Namen fehlschlagen. Dies macht es für Endbenutzer, die versuchen, ihr Facebook zu überprüfen, ziemlich nutzlos. Wenn Sie eine Zulassungsliste von Domänen hinzufügen möchten, die Benutzer auflösen können, können Sie sie in eine Hosts- Datei einfügen. Stellen Sie einfach sicher, dass Sie es auf dem neuesten Stand halten, wenn sich die IP-Adressen ändern.

Mike
quelle
Dies schlägt fehl, wenn der Benutzer in der Lage und klug genug ist, die DNS-Server für seine Netzwerkschnittstelle zu bearbeiten.
klaar
@klaar Das stimmt. Dies war eine bestimmte Arbeitsstation, auf der ich dies tat, für die nur ich Administratorrechte habe. Ich brauchte Mitarbeiter, die auf diesem Gerät drucken konnten, aber nicht auf das Internet zugreifen konnten, und genau das funktionierte für mich. Wenn Sie dies in größerem Maßstab tun müssen, bei dem mehrere Clients, über die Sie keine absolute Kontrolle haben, nicht auf das Internet zugreifen können sollten, funktioniert diese Lösung offensichtlich nicht. In diesem Fall möchten Sie möglicherweise eine Firewall auf Ihrem DHCP-Server verwenden, um den Zugriff auf die Gateway-IP nur bestimmten Clients basierend auf deren MAC-Adressen zu gewähren.
Mike
0

Ich denke auch, dass das Ändern der Standardroute in Ihrem Router den Trick tun sollte. Dies hindert den Router jedoch nicht am Routing, wenn man darauf zeigt. Wenn Sie die vom DHCP-Server veröffentlichte Standardroute ändern, wird nur die Standardroute von den Clientcomputern entfernt. Jeder, der die Route manuell hinzufügt, erhält dann wieder Zugang zum Internet. Und das Entfernen der Standardroute FÜR DEN ROUTER selbst ist möglicherweise keine gute Idee, da dadurch der Zugang zum Internet für alle verweigert wird.

Eine andere Lösung könnte das Routing basierend auf der Quell-IP sein. Sie könnten den Internetzugriff auf IP-Adressen unter xxx128 blockieren und anderen erlauben. Wenn Sie einen Linux-basierten Router haben, können solche Regeln leicht programmiert werden. Bei einem Router wie dem, den Sie im Geschäft kaufen, ist dies möglicherweise eine größere Herausforderung.

Viele Router verfügen möglicherweise auch über Zugriffsberechtigungen, die auf dem IP-Bereich basieren können. Überprüfen Sie Ihre eigene Routerkonfiguration. Oder geh einfach auf Linux!

jfmessier
quelle
0

Ich glaube, Sie könnten dies auf der Router-Ebene tun (abhängig von Ihrer QOS) und eine Regel festlegen, um den gesamten Datenverkehr (ausgehend vom LAN) für diesen bestimmten Server / Computer-IP zu blockieren.

Auf diese Weise kann der Server intern einwandfrei funktionieren, aber der Router lehnt den Zugriff von außen ab bzw. verweigert ihn.

Jakub
quelle