zezwalanie na dostęp do sieci lokalnej przy jednoczesnym blokowaniu dostępu do Internetu

Block default gateway in firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

jest dobrą metodą ponieważ

• w porównaniu do zmiany adresu
• bramy domyślnej na nieprawidłowy adres netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 nie wymaga wyłączenia DHCP
• adresu DNS na nieprawidłowy adres netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no dostęp bez użycia DNS (np. http://74.125.224.72) też jest blokowany
• w porównaniu do route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 ustawienie jest zapisywane

Myślę, że najprostszym sposobem na zrobienie tego jest ustawienie złej bramy domyślnej.

Próbowałem rozwiązania, które proponuje @MaciekSawicki, ale nie udało mi się go uruchomić. Kiedy ustawiłem domyślną bramę na coś nieprawidłowego, nie był w stanie połączyć się z siecią w ogóle - nawet z lokalnym intranetem.

Zamiast tego, udało mi się to osiągnąć poprzez pozostawienie połączenia na DHCP (lub valid manual config) i ręczne ustawienie DNS. Pierwszy serwer DNS, ustawiłem na nieważny adres IP (192.0.0.0), a drugi zostawiłem pusty, więc żadne domeny nie będą mogły być przypisane do adresu IP. Oznacza to, że wszystko, co jawnie używa IP zamiast nazwy domeny będzie działać, ale wszystkie nazwy zawiodą. To czyni go całkiem bezużytecznym dla użytkowników końcowych próbujących sprawdzić swojego Facebooka. Jeśli chcesz dodać dozwoloną listę domen, które użytkownicy mogą rozwiązywać, możesz umieścić je w pliku hosts . Tylko upewnij się, że jest on aktualizowany, jeśli adresy IP się zmieniają.

Myślę też, że zmiana domyślnej trasy w routerze powinna załatwić sprawę. Nie powstrzyma to jednak routera przed routingiem, jeśli ktoś na niego wskaże. Zmiana domyślnej trasy opublikowanej przez serwer DHCP spowoduje jedynie usunięcie domyślnej trasy z komputerów klienckich. Każdy, kto doda trasę ręcznie, odzyska dostęp do Internetu. A usunięcie domyślnej trasy dla samego ROUTERA może nie być dobrym pomysłem, ponieważ uniemożliwia dostęp do Internetu wszystkim.

Innym rozwiązaniem może być routing oparty na źródłowym IP. Mógłbyś zablokować dostęp do Internetu dla adresów IP poniżej x.x.x.128, pozwalając innym. Jeśli masz router oparty na Linuksie, takie reguły można łatwo zaprogramować. Z routerem takim jak te, które kupujesz w sklepie, może to być większe wyzwanie.

Wiele routerów może mieć również uprawnienia dostępu, które mogą być oparte na zakresie IP. Sprawdź konfigurację swojego routera. Albo po prostu przejdź na Linuksa !

Najprostszym sposobem, aby to zrobić (ale każdy techniczny może obejść) jest po prostu przejść do właściwości internetowych i zmienić proxy na coś nieistniejącego.

Poza tym, jeśli nie masz intranetu, możesz spojrzeć na Windows Firewall (jeśli jest to Vista +, nie jestem pewien, czy XP obsługuje to) i zablokować port 80 wychodzący.

Obie te metody mogą być przeciwdziałane, jeśli maszyna nie jest zablokowana.

Osobiście, jeśli nie ma żadnego powodu, aby użytkownicy byli na nim inni niż programy, po prostu całkowicie zablokuj go za pomocą polityki grupy.

Wierzę, że można to zrobić na poziomie routera (w zależności od QOS) i umieścić w regule, aby zablokować cały ruch (wychodzący poza LAN) dla tego konkretnego IP serwera/komputera.

W ten sposób serwer może działać dobrze wewnętrznie, ale router będzie upuszczał / odmawiał wszelkiego dostępu z zewnątrz.