permitindo acesso à rede local e bloqueando o acesso à Internet [duplicado]

21

Eu tenho um computador em rede que é usado como um servidor de impressão / digitalização remoto (compartilhado por vários usuários). Existe alguma maneira de bloquear o acesso à Internet das máquinas e permitir que ele se conecte à nossa rede local?

editar-

Essencialmente, é uma máquina Windows XP compartilhada entre mim e outras 5 pessoas no meu departamento (uma solução alternativa para compartilhar um scanner sem a compra de um scanner habilitado para rede) O servidor VNC é configurado no computador 'servidor' ativo e cada usuário está usando um cliente vnc para acessar a máquina. A máquina possui uma conta própria e eu gostaria de desativar o acesso à Internet. Existe uma maneira de desativar todo o acesso à Internet do próprio computador sem alterar as configurações de diretiva de grupo?

internet blocking Jon
fonte
4
Isso pode realmente obter uma resposta melhor no ServerFault.
C. Ross
você pode nos dar mais detalhes? qual SO no computador em rede? qual é o dispositivo roteador / gateway na rede local?
quack quixote

Respostas:

1

A maneira mais fácil de fazer isso de longe (mas alguém técnico pode ignorar) é simplesmente acessar as propriedades da Internet e alterar o proxy para algo inexistente.

Fora isso, se você não tem intranet, pode olhar para o Firewall do Windows (se for o Vista +, não tem certeza se o XP suporta isso) e bloquear a porta 80 de saída.

Ambos os métodos podem ser combatidos se a máquina não estiver bloqueada.

Pessoalmente, se não houver motivo para os usuários participarem dessa ação além de programas, basta bloqueá-lo completamente por meio da política de grupo.

William Hilsum
fonte
6
-1: alterar proxies e bloquear a porta 80 (para não mencionar a porta 443, para HTTPS) pode desligar um navegador da Web, mas o "acesso à Internet" não se limita aos navegadores. +1: bloquear a diretiva de grupo é uma boa sugestão.
quack quixote
bem, estamos falando de uma máquina usada como servidor que precisa de acesso do usuário - normalmente, alterar a porta proxy ou de bloqueio 80 é suficiente para desencorajar as pessoas de usá-la - normalmente, se eles abrirem o IE e virem a página não pode ser exibida, isso é suficiente ! ... mas pelo menos eu acabo com 0 e não -1 nos seus livros, então +1 de mim! :)
William Hilsum
talvez a -1 é melhor aplicado à questão de ser claro ...;)
quack quixote
9

Bloquear gateway padrão no firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

é um bom método porque

  • em comparação com a alteração do
    • endereço de gateway padrão para um endereço inválido netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0, não requer a desativação do DHCP
    • O endereço DNS para um netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noacesso inválido sem usar o DNS (fe http://74.125.224.72) também está bloqueado
  • comparado com route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1a configuração é salvo
John Peterson
fonte
Presumivelmente, para reverter essa regra, é só netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Eu acho que a maneira mais simples de fazer isso é definir o gateway padrão errado.

Maciek Sawicki
fonte
3
ou remova completamente a rota padrão, para que os únicos IPs que ela possa rotear sejam os de suas interfaces locais. sem experimentar, não tenho certeza de qual abordagem funcionaria melhor - o Windows pode preferir mentir. :)
quack quixote
1

Tentei a solução que o @MaciekSawicki propõe, mas não consegui fazê-la funcionar. Quando defino o gateway padrão como algo inválido, ele não consegue se conectar à rede, nem mesmo à intranet local.

Em vez disso, realizei isso deixando a conexão no DHCP (ou configuração manual válida ) e definindo o DNS manualmente. O primeiro servidor DNS, eu o defini como um endereço IP inválido ( 192.0.0.0) e deixei o segundo em branco, para que nenhum domínio possa ser resolvido para um endereço IP. Isso significa que qualquer coisa que use explicitamente o IP em vez de um nome de domínio funcionará, mas todos os nomes falharão. Isso torna bastante inútil para os usuários finais que tentam verificar seu facebook. Se você deseja adicionar uma lista de permissões de domínios que os usuários podem resolver, coloque-os em um arquivo de hosts . Apenas mantenha-o atualizado se os endereços IP mudarem.

Mike
fonte
Isso falhará quando o usuário for capaz e inteligente o suficiente para editar os servidores DNS para sua interface de rede.
Klaar
@klaar Isso é verdade. Esta era uma estação de trabalho específica em que eu estava fazendo isso e somente tenho direitos de administrador. Eu precisava que os funcionários pudessem imprimir, mas não acessar a Internet neste dispositivo, e foi isso que funcionou para mim. Se você precisar fazer isso em uma escala maior, em que vários clientes sobre os quais você não tem controle absoluto não devam acessar a Internet, essa solução obviamente não funcionaria. Nesse caso, convém usar um firewall no servidor DHCP para conceder acesso ao IP do gateway apenas a clientes específicos com base em seus endereços MAC.
Mike
0

Eu também acho que alterar a rota padrão no seu roteador deve fazer o truque. No entanto, isso não impedirá o roteador de rotear, se alguém apontar para ele. Alterar a rota padrão conforme publicada pelo servidor DHCP removerá apenas a rota padrão dos computadores clientes. Quem adicionar a rota manualmente, obterá acesso à Internet de volta. E remover a rota padrão PARA O ROUTER EM PRIMEIRO LUGAR pode não ser uma boa ideia, pois nega o acesso à Internet para todos.

Outra solução pode ser rotear com base no IP de origem. Você pode bloquear o acesso à Internet aos endereços IP sob xxx128, permitindo outros. Se você possui um roteador baseado em Linux, essas regras podem ser facilmente programadas. Com um roteador como os que você compra na loja, esse pode ser um desafio maior.

Muitos roteadores também podem ter permissões de acesso que podem ser baseadas no intervalo de IP. Verifique sua própria configuração de roteador. Ou apenas vá para o Linux!

jfmessier
fonte
0

Eu acredito que você poderia fazer isso no nível do roteador (dependendo do seu QOS) e estabelecer uma regra para bloquear todo o tráfego (saída fora da LAN) para esse IP de servidor / computador específico.

Dessa forma, o servidor pode funcionar muito bem internamente, mas o roteador descarta / nega todo acesso externo.

Jakub
fonte