J'ai un ordinateur en réseau utilisé comme serveur d'impression / numérisation distant (qui est partagé par de nombreux utilisateurs). Puis-je bloquer l'accès Internet des machines tout en lui permettant de se connecter à notre réseau local?
Éditer-
Essentiellement, c'est une machine Windows XP partagée entre moi-même et 5 autres personnes dans mon service (une solution de contournement pour partager un scanner sans acheter un scanner compatible réseau) Le serveur VNC est configuré sur l'ordinateur `` serveur '' actif et chaque utilisateur utilise un client vnc pour accéder à la machine. La machine a son propre compte et je voudrais désactiver l'accès à Internet. Existe-t-il un moyen de désactiver tous les accès Internet à partir de l'ordinateur lui-même sans modifier les paramètres de stratégie de groupe?
Réponses:
La façon la plus simple de le faire de loin (mais tout technicien pourrait contourner) est simplement d'aller sur les propriétés Internet et de changer le proxy en quelque chose d'inexistant.
En dehors de cela, si vous n'avez pas d'intranet, vous pouvez regarder le pare-feu Windows (si c'est Vista +, pas sûr que XP le prenne en charge) et bloquer le port 80 sortant.
Ces deux méthodes peuvent être contrées si la machine n'est pas verrouillée.
Personnellement, s'il n'y a aucune raison pour que les utilisateurs soient sur ce programme autre que là-bas, verrouillez-le complètement via la stratégie de groupe.
la source
Bloquer la passerelle par défaut dans le pare-feu
est une bonne méthode car
netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0
il ne nécessite pas de désactivation DHCPnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no
accès d' adresse non valide sans utiliser DNS (fehttp://74.125.224.72
) est également bloquéeroute delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
paramètre est enregistréla source
netsh advfirewall firewall delete "Block default gateway"
?netsh advfirewall firewall delete rule name="Block default gateway"
Je pense que la façon la plus simple de le faire est de définir une mauvaise passerelle par défaut.
la source
J'ai essayé la solution proposée par @MaciekSawicki, mais je n'ai pas pu la faire fonctionner. Lorsque j'ai défini la passerelle par défaut sur un élément non valide, elle n'a pas pu se connecter au réseau, même à l'intranet local.
Au lieu de cela, j'ai accompli cela en laissant la connexion sur DHCP (ou une configuration manuelle valide ) et en définissant le DNS manuellement. Le premier serveur DNS, je l'ai défini sur une adresse IP non valide (
192.0.0.0
) et laissé le second vide, donc aucun domaine ne pourra être résolu en une adresse IP. Cela signifie que tout ce qui utilise explicitement l'IP au lieu d'un nom de domaine fonctionnera, mais tous les noms échoueront. Cela le rend assez inutile pour les utilisateurs finaux essayant de vérifier leur facebook. Si vous souhaitez ajouter une liste autorisée de domaines que les utilisateurs peuvent résoudre, vous pouvez les placer dans un fichier d' hôtes . Assurez-vous simplement de le garder à jour si les adresses IP changent.la source
Je pense également que changer l'itinéraire par défaut dans votre routeur devrait faire l'affaire. Cependant, cela n'empêchera pas le routeur de router, si on le pointe. La modification de l'itinéraire par défaut tel que publié par le serveur DHCP supprimera uniquement l'itinéraire par défaut des ordinateurs clients. Quiconque ajoute l'itinéraire manuellement récupère alors l'accès à Internet. Et supprimer l'itinéraire par défaut POUR LE ROUTEUR LUI-MÊME pourrait ne pas être une bonne idée, car il refuse l'accès à Internet à tout le monde.
Une autre solution pourrait être le routage basé sur l'IP source. Vous pouvez bloquer l'accès Internet aux adresses IP sous xxx128, autorisant les autres. Si vous avez un routeur basé sur Linux, de telles règles pourraient facilement être programmées. Avec un routeur tel que ceux que vous achetez au magasin, cela peut être un plus grand défi.
De nombreux routeurs peuvent également disposer d'autorisations d'accès qui peuvent être basées sur la plage IP. Vérifiez la configuration de votre propre routeur. Ou allez simplement Linux!
la source
Je crois que vous pouvez le faire au niveau du routeur (selon votre QOS) et mettre une règle pour BLOQUER tout le trafic (sortant hors LAN) pour cette IP serveur / ordinateur spécifique.
De cette façon, le serveur peut très bien fonctionner en interne, mais le routeur supprimera / refusera tout accès en externe.
la source