internet erişimini engellerken yerel ağ erişimine izin vermek [kopya]


21

Uzaktan yazdırma / tarama sunucusu olarak kullanılan (çok sayıda kullanıcı tarafından paylaşılan) ağ bağlantılı bir bilgisayarım var. Yerel ağımıza bağlanmasına izin verirken makinelerin internet erişimini engellememin bir yolu var mı?

Düzenle-

Temelde, departmanımda kendimle ve diğer 5 kişi arasında paylaşılan bir Windows XP makinesi (ağ etkin tarayıcı satın almadan bir tarayıcıyı paylaşmak için bir geçici çözüm) VNC sunucusu, oyunculuk yapan 'sunucu' bilgisayarda kuruluyor ve her kullanıcı bir vnc istemcisi kullanıyor makineye erişmek için. Makinenin kendi hesabı var ve internet erişimini kapatmak istiyorum. Grup ilkesi ayarlarını değiştirmeden bilgisayardan tüm internet erişimini devre dışı bırakmamın bir yolu var mı?


4
Bu aslında ServerFault'da daha iyi bir yanıt alabilir.
C. Ross

bize daha fazla ayrıntı verebilir misin? ağa bağlı bilgisayarda hangi işletim sistemi var? yerel ağdaki yönlendirici / ağ geçidi cihazı nedir?
quack quixote

Yanıtlar:


1

Bunu yapmanın en kolay yolu (ancak teknik açıdan herhangi biri atlayabilir) sadece internet özelliklerine gitmek ve proxy'yi var olmayan bir şeyle değiştirmek.

Bunun dışında, intranetiniz yoksa, Windows Güvenlik Duvarı'na bakabilirsiniz (Bu Vista + ise, XP'nin bunu desteklediğinden emin değilsiniz) ve 80 numaralı bağlantı noktasını engelleyebilirsiniz.

Makine kilitli değilse, bu yöntemlerin ikisi de karşılanabilir.

Şahsen, kullanıcıların programların dışında bu konuda olmalarının bir nedeni yoksa, bunu grup ilkesiyle tamamen kilitleyin.


6
-1: Proxy'leri değiştirmek ve 80 numaralı bağlantı noktasını engellemek (HTTPS için 443 numaralı bağlantı noktasından bahsetmiyorum) bir web tarayıcısını kapatabilir, ancak "internet erişimi" tarayıcılarla sınırlı değildir. +1: grup ilkesiyle kilitlenilmesi iyi bir öneridir.
quix quixote

peki, kullanıcı erişimi gerektiren bir sunucu olarak kullanılan bir makineden bahsediyoruz - genellikle, proxy'yi değiştirmek veya 80 numaralı bağlantı noktasını engellemek, insanların onu kullanmasını engellemek için yeterlidir - genellikle, IE’yi açarlar ve sayfa görüntülenemiyorsa, bu yeterlidir. ! ... ama en azından kitaplarınızda -1 değil bir 0 ile bitirdim, o yüzden benden +1! :)
William Hilsum,

belki -1, belirsiz olduğu sorusuna daha iyi uygulanırsa ...;)
quixote

9

Güvenlik duvarında varsayılan ağ geçidini engelleyin

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

çünkü iyi bir yöntem

  • değişen ile karşılaştırıldığında
    • varsayılan ağ geçidi adresini geçersiz bir adrese netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0DHCP devre dışı bırakmayı gerektirmez
    • DNS netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no(fe http://74.125.224.72) kullanmadan geçersiz adres erişimine yönelik DNS adresi de engelleniyor
  • route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1ayar ile karşılaştırıldığında kaydedilir

Muhtemelen, bu kuralı tersine çevirmek için, sadece netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson

2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson,

8

Bence bunu yapmanın en basit yolu yanlış varsayılan ağ geçidini ayarlamak.


3
veya varsayılan rotayı tamamen kaldırın, böylece yönlendirebilecek tek IP'ler yerel arabirimlerininkilerdir. deneme yapmadan hangi yaklaşımın daha iyi sonuç vereceğinden emin değilim - Windows yalan söylemeyi tercih edebilir. :)
quixote 15

1

MaciekSawicki'nin önerdiği çözümü denedim ama işe yaramadı. Varsayılan ağ geçidini geçersiz bir şeye ayarladığımda, ağa hiç bağlanamadım - yerel intranet bile.

Bunun yerine, bağlantıyı DHCP'de (veya geçerli manuel yapılandırma) bırakarak ve DNS'yi manuel olarak ayarlayarak başardım . İlk DNS sunucusu, onu geçersiz bir IP adresine ( 192.0.0.0) ayarladım ve ikincisini boş bıraktım, böylece hiçbir etki alanı bir IP adresine çözülemeyecek. Bu, etki alanı adı yerine IP'yi açıkça kullanan herhangi bir şeyin işe yarayacağı, ancak tüm adların başarısız olacağı anlamına gelir. Bu, son kullanıcıların kendi facebook'larını kontrol etmeye çalışırken yararsız olmasını sağlar. Kullanıcıların çözebileceği etki alanları için izin verilenler listesi eklemek isterseniz, bunları bir ana bilgisayar dosyasına koyabilirsiniz . IP adresleri değişirse güncel tutmaya dikkat edin.


Kullanıcı, ağ arayüzü için DNS sunucularını düzenlemek için yeterince akıllı ve zeki olduğunda başarısız olur.
klaar

@klaar Bu doğru. Bu, sadece yönetici haklarına sahip olduğum bu konuda yaptığım iş istasyonuydu. Çalışanların yazdırabilmeleri için gerekli, ancak bu cihazda internete erişemedim ve bu benim için çalıştı. Bunun için mutlak kontrole sahip olmadığınız birkaç müşterinin İnternet'e erişememesi gerektiği daha büyük bir ölçekte yapılması gerekiyorsa, bu çözüme açıkçası işe yaramayacaktı. Bu durumda, ağ geçidi IP'sine yalnızca MAC adreslerine göre belirli istemcilere erişim vermek için DHCP sunucunuzda bir güvenlik duvarı kullanmak isteyebilirsiniz.
Mike,

0

Yönelticinizdeki varsayılan rotayı değiştirmenin de hile yapması gerektiğini düşünüyorum. Ancak, bu yönlendiricinin yönlendirmesini engellemeyecektir, eğer bir tane işaret ederse. Varsayılan rotayı DHCP sunucusu tarafından yayınlanan şekilde değiştirmek, yalnızca varsayılan yolu istemci bilgisayarlardan kaldıracaktır. Rotayı manuel olarak ekleyen herkes daha sonra tekrar İnternet erişimi kazanacaktır. Ve varsayılan rotadan kurtulmak ROUTER ITSELF, herkes için internete erişimi reddettiği için iyi bir fikir olmayabilir.

Alınan diğer bir çözüm ise kaynak IP'ye dayanarak yönlendirmedir. İnternet erişimini, xxx128 altındaki IP adreslerine engelleyerek başkalarına izin verebilirsiniz. Linux tabanlı bir yönlendiriciniz varsa, bu tür kurallar kolayca programlanabilir. Mağazada satın aldığınız gibi bir yönlendirici ile, bu daha büyük bir zorluk olabilir.

Birçok yönlendiricinin IP aralığına dayalı olabilecek erişim izinleri de olabilir. Kendi yönlendirici yapılandırmanızı kontrol edin. Ya da sadece Linux git!


0

Bunu yönlendirici düzeyinde (QOS'unuza bağlı olarak) yapabileceğinizi ve söz konusu sunucu / bilgisayar IP'si için tüm trafiği (LAN dışından) BLOCK kuralına koyacağınıza inanıyorum.

Bu şekilde, sunucu dahili olarak gayet iyi çalışır, ancak yönlendirici harici olarak tüm erişimi reddeder / reddeder.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.