อนุญาตการเข้าถึงเครือข่ายท้องถิ่นในขณะที่ปิดกั้นการเข้าถึงอินเทอร์เน็ต [ซ้ำกัน]


21

ฉันมีคอมพิวเตอร์ในเครือข่ายที่ใช้เป็นเซิร์ฟเวอร์การพิมพ์ / สแกนระยะไกล (ซึ่งใช้ร่วมกันโดยผู้ใช้จำนวนมาก) มีวิธีใดบ้างที่ฉันสามารถบล็อกการเข้าถึงอินเทอร์เน็ตของเครื่องขณะที่ยังอนุญาตให้เชื่อมต่อกับเครือข่ายท้องถิ่นของเราได้

Edit-

โดยพื้นฐานแล้วมันเป็นเครื่อง Windows XP ที่ใช้ร่วมกันระหว่างตัวฉันกับคนอื่น ๆ อีก 5 คนในแผนกของฉัน (วิธีแก้ปัญหาในการแชร์เครื่องสแกนโดยไม่ต้องซื้อเครื่องสแกนที่เปิดใช้งานเครือข่าย) เซิร์ฟเวอร์ VNC ตั้งอยู่บนคอมพิวเตอร์ เพื่อเข้าถึงเครื่อง เครื่องมีบัญชีของตัวเองและฉันต้องการปิดการใช้งานอินเทอร์เน็ต มีวิธีที่ฉันสามารถปิดการใช้งานอินเทอร์เน็ตทั้งหมดจากคอมพิวเตอร์โดยไม่ต้องเปลี่ยนการตั้งค่านโยบายกลุ่มหรือไม่?


4
นี่อาจได้รับการตอบกลับที่ดีกว่าบน ServerFault
C. Ross

คุณให้รายละเอียดเพิ่มเติมกับเราได้ไหม ระบบปฏิบัติการอะไรบนคอมพิวเตอร์เครือข่าย อุปกรณ์เราเตอร์ / เกตเวย์บนเครือข่ายท้องถิ่นคืออะไร
ต้มตุ๋น Quixote

คำตอบ:


1

วิธีที่ง่ายที่สุดในการทำเช่นนี้ (แต่ใครก็ตามที่สามารถหลีกเลี่ยงได้) ก็คือไปที่คุณสมบัติอินเทอร์เน็ตและเปลี่ยนพร็อกซีเป็นสิ่งที่ไม่มีอยู่จริง

นอกเหนือจากนี้หากคุณไม่มีอินทราเน็ตคุณสามารถดู Windows Firewall (ถ้าเป็น Vista + ไม่แน่ใจว่า XP รองรับสิ่งนี้) และบล็อกพอร์ต 80 ขาออก

วิธีการทั้งสองนี้สามารถโต้กลับได้หากไม่ล็อคเครื่อง

โดยส่วนตัวถ้าไม่มีเหตุผลใดที่ผู้ใช้จะอยู่ที่อื่นนอกเหนือจากที่นั่นโปรแกรมเพียงแค่ล็อคมันอย่างสมบูรณ์ผ่านนโยบายกลุ่ม


6
-1: การเปลี่ยนพร็อกซีและการบล็อกพอร์ต 80 (ไม่ต้องพูดถึงพอร์ต 443 สำหรับ HTTPS) อาจปิดเว็บเบราว์เซอร์ แต่ "การเข้าถึงอินเทอร์เน็ต" ไม่ได้ จำกัด เฉพาะเบราว์เซอร์ +1: การล็อกนโยบายกลุ่มเป็นข้อเสนอแนะที่ดี
ต้มตุ๋น Quixote

เรากำลังพูดถึงเครื่องที่ใช้เป็นเซิร์ฟเวอร์ที่ต้องการการเข้าถึงของผู้ใช้ - โดยปกติแล้วการเปลี่ยนพร็อกซีหรือการบล็อกพอร์ต 80 เพียงพอที่จะกีดกันผู้คนจากการใช้งาน - โดยทั่วไปถ้าพวกเขาเปิด IE และดูหน้าไม่สามารถแสดงได้ ! ... แต่อย่างน้อยฉันก็ลงท้ายด้วย 0 และไม่ใช่ -1 ในหนังสือของคุณดังนั้น +1 จากฉัน! :)
William Hilsum

บางที -1 ถูกนำไปใช้ที่ดีกว่าให้กับคำถามที่ไม่ชัดเจน ... ;)
นักต้มตุ๋น Quixote

9

บล็อกเกตเวย์เริ่มต้นในไฟร์วอลล์

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

เป็นวิธีที่ดีเพราะ

  • เทียบกับการเปลี่ยน
    • ที่อยู่เกตเวย์เริ่มต้นไปยังที่อยู่ที่ไม่ถูกต้องnetsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0ไม่จำเป็นต้องปิดการใช้งาน DHCP
    • ที่อยู่ DNS สำหรับการnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noเข้าถึงที่อยู่ไม่ถูกต้องโดยไม่ใช้ DNS (fe http://74.125.224.72) ก็ถูกบล็อกเช่นกัน
  • เมื่อเทียบกับroute delete 0.0.0.0 mask 0.0.0.0 192.168.0.1การตั้งค่าจะถูกบันทึกไว้

สมมุติว่าเพื่อที่จะกลับกฎนี้มันเป็นแค่netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson

2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson

8

ฉันคิดว่าวิธีที่ง่ายที่สุดในการทำเช่นนี้คือการตั้งค่าเกตเวย์เริ่มต้นผิด


3
หรือลบเส้นทางเริ่มต้นทั้งหมดดังนั้นเฉพาะ IP ที่สามารถกำหนดเส้นทางได้เท่านั้นคือส่วนต่อประสานโลคัล ฉันไม่แน่ใจว่าวิธีการใดที่ใช้งานได้ดีกว่า - Windows อาจต้องการที่จะโกหก :)
ต้มตุ๋น quixote

1

ฉันพยายามแก้ปัญหา @MaciekSawicki เสนอ แต่ฉันไม่สามารถใช้งานได้ เมื่อฉันตั้งค่าเกตเวย์เริ่มต้นเป็นสิ่งที่ไม่ถูกต้องฉันไม่สามารถเชื่อมต่อกับเครือข่ายได้เลยแม้แต่ในระบบอินทราเน็ต

ฉันทำสิ่งนี้สำเร็จโดยออกจากการเชื่อมต่อบน DHCP (หรือการกำหนดค่าด้วยตนเองที่ถูกต้อง ) และตั้งค่า DNS ด้วยตนเอง เซิร์ฟเวอร์ DNS ตัวแรกฉันตั้งค่าเป็นที่อยู่ IP ที่ไม่ถูกต้อง ( 192.0.0.0) และปล่อยให้เซิร์ฟเวอร์ที่สองว่างเปล่าดังนั้นจึงไม่มีโดเมนใดที่จะสามารถแก้ไขให้เป็นที่อยู่ IP ได้ ซึ่งหมายความว่าสิ่งใดก็ตามที่ใช้ IP อย่างชัดเจนแทนที่จะเป็นชื่อโดเมนจะใช้งานได้ แต่ชื่อทั้งหมดจะล้มเหลว สิ่งนี้ทำให้ไร้ประโยชน์สำหรับผู้ใช้ที่พยายามตรวจสอบ Facebook ของตน หากคุณต้องการเพิ่มรายการอนุญาตให้โดเมนที่ผู้ใช้สามารถแก้ไขได้คุณสามารถวางไว้ในไฟล์โฮสต์ เพียงตรวจสอบให้แน่ใจว่าได้อัปเดตอยู่เสมอหากมีการเปลี่ยนแปลงที่อยู่ IP


สิ่งนี้จะล้มเหลวเมื่อผู้ใช้สามารถและฉลาดพอที่จะแก้ไขเซิร์ฟเวอร์ DNS สำหรับอินเทอร์เฟซเครือข่ายของเขา
klaar

@ klaar นั่นคือความจริง นี่เป็นเวิร์คสเตชั่เฉพาะที่ฉันทำสิ่งนี้เท่านั้นที่ฉันมีสิทธิ์ผู้ดูแลระบบ ฉันต้องการให้พนักงานพิมพ์ได้ แต่ไม่สามารถเข้าถึงอินเทอร์เน็ตบนอุปกรณ์นี้และนี่คือสิ่งที่ใช้ได้กับฉัน หากคุณต้องการสิ่งนี้ในระดับที่ใหญ่ขึ้นซึ่งลูกค้าหลายรายที่คุณไม่สามารถควบคุมได้อย่างสมบูรณ์ไม่ควรเข้าถึงอินเทอร์เน็ตโซลูชันนี้เห็นได้ชัดว่าใช้งานไม่ได้ ในกรณีนี้คุณอาจต้องการใช้ไฟร์วอลล์บนเซิร์ฟเวอร์ DHCP ของคุณเพื่อให้สิทธิ์การเข้าถึง IP ของเกตเวย์เฉพาะกับไคลเอนต์ที่ระบุตามที่อยู่ MAC ของพวกเขา
Mike

0

ฉันคิดว่าการเปลี่ยนเส้นทางเริ่มต้นในเราเตอร์ของคุณควรทำตาม อย่างไรก็ตามสิ่งนี้จะไม่หยุดเราเตอร์จากการเราต์หากมีใครชี้ไป การเปลี่ยนเส้นทางเริ่มต้นตามที่เผยแพร่โดยเซิร์ฟเวอร์ DHCP จะลบเส้นทางเริ่มต้นจากคอมพิวเตอร์ไคลเอนต์เท่านั้น ทุกคนที่เพิ่มเส้นทางด้วยตนเองจะสามารถเข้าถึงอินเทอร์เน็ตได้ และการลบเส้นทางเริ่มต้นสำหรับตัวเราเองอาจไม่ใช่ความคิดที่ดีเพราะมันปฏิเสธการเข้าถึงอินเทอร์เน็ตสำหรับทุกคน

ทางออกอีกอย่างคือการกำหนดเส้นทางตาม IP ต้นทาง คุณสามารถบล็อกการเข้าถึงอินเทอร์เน็ตไปยังที่อยู่ IP ภายใต้ xxx128, อนุญาตให้ผู้อื่น หากคุณมีเราเตอร์ที่ใช้ Linux กฎดังกล่าวสามารถตั้งโปรแกรมได้อย่างง่ายดาย ด้วยเราเตอร์เช่นที่คุณซื้อที่ร้านค้านี่อาจเป็นความท้าทายที่ยิ่งใหญ่กว่า

เราเตอร์จำนวนมากอาจมีสิทธิ์การเข้าถึงที่สามารถขึ้นอยู่กับช่วง IP ตรวจสอบการกำหนดค่าเราเตอร์ของคุณเอง หรือเพียงแค่ไป Linux!


0

ฉันเชื่อว่าคุณสามารถทำได้ที่ระดับเราเตอร์ (ขึ้นอยู่กับคุณ QOS) และวางกฎเพื่อบล็อกการรับส่งข้อมูลทั้งหมด (ขาออกจาก LAN) สำหรับ IP / เซิร์ฟเวอร์ของคอมพิวเตอร์นั้น

วิธีนี้ทำให้เซิร์ฟเวอร์สามารถทำงานได้ดีภายใน แต่เราเตอร์จะปล่อย / ปฏิเสธการเข้าถึงทั้งหมดจากภายนอก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.