autoriser l'accès au réseau local tout en bloquant l'accès à Internet [doublon]

21

J'ai un ordinateur en réseau utilisé comme serveur d'impression / numérisation distant (qui est partagé par de nombreux utilisateurs). Puis-je bloquer l'accès Internet des machines tout en lui permettant de se connecter à notre réseau local?

Éditer-

Essentiellement, c'est une machine Windows XP partagée entre moi-même et 5 autres personnes dans mon service (une solution de contournement pour partager un scanner sans acheter un scanner compatible réseau) Le serveur VNC est configuré sur l'ordinateur `` serveur '' actif et chaque utilisateur utilise un client vnc pour accéder à la machine. La machine a son propre compte et je voudrais désactiver l'accès à Internet. Existe-t-il un moyen de désactiver tous les accès Internet à partir de l'ordinateur lui-même sans modifier les paramètres de stratégie de groupe?

Jon
la source
4
Cela pourrait en fait obtenir une meilleure réponse sur ServerFault.
C. Ross
pouvez-vous nous donner plus de détails? quel OS sur l'ordinateur en réseau? quel est le périphérique routeur / passerelle sur le réseau local?
Quack Quichotte

Réponses:

1

La façon la plus simple de le faire de loin (mais tout technicien pourrait contourner) est simplement d'aller sur les propriétés Internet et de changer le proxy en quelque chose d'inexistant.

En dehors de cela, si vous n'avez pas d'intranet, vous pouvez regarder le pare-feu Windows (si c'est Vista +, pas sûr que XP le prenne en charge) et bloquer le port 80 sortant.

Ces deux méthodes peuvent être contrées si la machine n'est pas verrouillée.

Personnellement, s'il n'y a aucune raison pour que les utilisateurs soient sur ce programme autre que là-bas, verrouillez-le complètement via la stratégie de groupe.

William Hilsum
la source
6
-1: changer les proxys et bloquer le port 80 (sans parler du port 443, pour HTTPS) peut fermer un navigateur Web, mais "l'accès à Internet" n'est pas limité aux navigateurs. +1: le verrouillage via la stratégie de groupe est une bonne suggestion.
Quack Quichotte
Eh bien, nous parlons d'une machine utilisée comme serveur qui a besoin d'un accès utilisateur - généralement, changer de proxy ou bloquer le port 80 est suffisant pour décourager les gens de l'utiliser - généralement, s'ils ouvrent IE et que la page ne peut pas être affichée, cela suffit ! ... mais au moins je me retrouve avec un 0 et non un -1 dans vos livres, donc +1 de ma part! :)
William Hilsum
peut-être que le -1 est mieux appliqué à la question pour
manque de
9

Bloquer la passerelle par défaut dans le pare-feu

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

est une bonne méthode car

  • par rapport à changer la
    • adresse de passerelle par défaut à une adresse non valide, netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0il ne nécessite pas de désactivation DHCP
    • L'adresse DNS à un netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noaccès d' adresse non valide sans utiliser DNS (fe http://74.125.224.72) est également bloquée
  • par rapport au route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1paramètre est enregistré
John Peterson
la source
Vraisemblablement, afin d'inverser cette règle, c'est juste netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Je pense que la façon la plus simple de le faire est de définir une mauvaise passerelle par défaut.

Maciek Sawicki
la source
3
ou supprimez entièrement la route par défaut, de sorte que les seules adresses IP qu'il peut router sont celles de ses interfaces locales. sans expérimenter, je ne sais pas quelle approche fonctionnerait mieux - Windows peut préférer qu'on lui mente. :)
Quack Quichotte
1

J'ai essayé la solution proposée par @MaciekSawicki, mais je n'ai pas pu la faire fonctionner. Lorsque j'ai défini la passerelle par défaut sur un élément non valide, elle n'a pas pu se connecter au réseau, même à l'intranet local.

Au lieu de cela, j'ai accompli cela en laissant la connexion sur DHCP (ou une configuration manuelle valide ) et en définissant le DNS manuellement. Le premier serveur DNS, je l'ai défini sur une adresse IP non valide ( 192.0.0.0) et laissé le second vide, donc aucun domaine ne pourra être résolu en une adresse IP. Cela signifie que tout ce qui utilise explicitement l'IP au lieu d'un nom de domaine fonctionnera, mais tous les noms échoueront. Cela le rend assez inutile pour les utilisateurs finaux essayant de vérifier leur facebook. Si vous souhaitez ajouter une liste autorisée de domaines que les utilisateurs peuvent résoudre, vous pouvez les placer dans un fichier d' hôtes . Assurez-vous simplement de le garder à jour si les adresses IP changent.

Mike
la source
Cela échouera lorsque l'utilisateur sera capable et suffisamment intelligent pour modifier les serveurs DNS de son interface réseau.
klaar
@klaar C'est vrai. Il s'agissait d'un poste de travail spécifique sur lequel je faisais cela et auquel seul j'ai des droits d'administrateur. J'avais besoin d'employés pour pouvoir imprimer, mais pas accéder à Internet sur cet appareil et c'est ce qui a fonctionné pour moi. Si vous avez besoin que cela soit fait à une plus grande échelle où plusieurs clients sur lesquels vous n'avez pas un contrôle absolu ne devraient pas pouvoir accéder à Internet, cette solution ne fonctionnerait évidemment pas. Dans ce cas, vous souhaiterez peut-être utiliser un pare-feu sur votre serveur DHCP pour accorder l'accès à l'IP de passerelle uniquement à des clients spécifiques en fonction de leurs adresses MAC.
Mike
0

Je pense également que changer l'itinéraire par défaut dans votre routeur devrait faire l'affaire. Cependant, cela n'empêchera pas le routeur de router, si on le pointe. La modification de l'itinéraire par défaut tel que publié par le serveur DHCP supprimera uniquement l'itinéraire par défaut des ordinateurs clients. Quiconque ajoute l'itinéraire manuellement récupère alors l'accès à Internet. Et supprimer l'itinéraire par défaut POUR LE ROUTEUR LUI-MÊME pourrait ne pas être une bonne idée, car il refuse l'accès à Internet à tout le monde.

Une autre solution pourrait être le routage basé sur l'IP source. Vous pouvez bloquer l'accès Internet aux adresses IP sous xxx128, autorisant les autres. Si vous avez un routeur basé sur Linux, de telles règles pourraient facilement être programmées. Avec un routeur tel que ceux que vous achetez au magasin, cela peut être un plus grand défi.

De nombreux routeurs peuvent également disposer d'autorisations d'accès qui peuvent être basées sur la plage IP. Vérifiez la configuration de votre propre routeur. Ou allez simplement Linux!

jfmessier
la source
0

Je crois que vous pouvez le faire au niveau du routeur (selon votre QOS) et mettre une règle pour BLOQUER tout le trafic (sortant hors LAN) pour cette IP serveur / ordinateur spécifique.

De cette façon, le serveur peut très bien fonctionner en interne, mais le routeur supprimera / refusera tout accès en externe.

Jakub
la source