インターネットアクセスをブロックしながらローカルネットワークアクセスを許可する[複製]

21

リモート印刷/スキャンサーバーとして使用されるネットワークコンピューター(多数のユーザーが共有)を使用していますが、ローカルネットワークへの接続を許可しながら、マシンのインターネットアクセスをブロックする方法はありますか?

編集

基本的に、自分と部門内の他の5人との間で共有されるWindows XPマシン(ネットワーク対応スキャナーを購入せずにスキャナーを共有するための回避策)VNCサーバーは、機能する「サーバー」コンピューターにセットアップされ、各ユーザーはvncクライアントを使用していますマシンにアクセスします。マシンには独自のアカウントがあり、インターネットアクセスを無効にします。グループポリシー設定を変更せずに、コンピューター自体からのすべてのインターネットアクセスを無効にできる方法はありますか?

internet  blocking 
ジョン
ソース
4
これにより、ServerFaultで実際により良い応答が得られる場合があります。
C.ロス
詳細を教えてください。ネットワークに接続されたコンピューターのOS ローカルネットワーク上のルーター/ゲートウェイデバイスは何ですか?
クワックキホーテ2009

回答:

1

これを行う最も簡単な方法(ただし、技術的な人はバイパスできます)は、単にインターネットのプロパティに移動し、プロキシを存在しないものに変更することです。

これ以外に、イントラネットがない場合は、Windowsファイアウォールを調べて(これがVista +の場合、XPがこれをサポートしていることを確認していない)、ポート80の発信をブロックできます。

マシンがロックダウンされていない場合、これらの方法の両方に対抗できます。

個人的には、ユーザーがプログラム以外にこれを使用する理由がない場合は、グループポリシーを使用して完全にロックダウンします。

ウィリアム・ヒルサム
ソース
6
-1:プロキシを変更し、ポート80(HTTPSの場合はポート443は言うまでもありません)をブロックすると、Webブラウザーがシャットダウンする場合がありますが、「インターネットアクセス」はブラウザーに限定されません。+1:グループポリシーを使用してロックダウンすることをお勧めします。
いんちきキホーテ2009
まあ、私たちはユーザーアクセスを必要とするサーバーとして使用されるマシンについて話している-通常、プロキシを変更するかポート80をブロックすることで人々がそれを使用するのを阻止するのに十分です-通常、IEを開いてページを表示できない場合はそれで十分です!...しかし、少なくともあなたの本では0であり、-1ではありません。:)
ウィリアムヒルサム2009
多分-1は、不明確であるという質問により適切に適用されます...;)
クワックキホーテ2009
9

ファイアウォールでデフォルトゲートウェイをブロックする

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

良い方法です

  • 変更と比較して
    • netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0DHCPを無効にする必要のない無効なアドレスへのデフォルトゲートウェイアドレス
    • DNS netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noを使用せずに無効なアドレスへのDNSアドレス(fe http://74.125.224.72)もブロックされます
  • route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1設定と比較して保存されます
ジョン・ピーターソン
ソース
おそらく、この規則を逆にするためには、それはただnetsh advfirewall firewall delete "Block default gateway"ですか?
ダンアトキンソン
2
netsh advfirewall firewall delete rule name="Block default gateway"
ジョンピーターソン
8

これを行う最も簡単な方法は、間違ったデフォルトゲートウェイを設定することだと思います。

マシーク・サウィッキ
ソース
3
または、デフォルトルートを完全に削除するため、ルーティングできるIPはローカルインターフェイスのIPのみになります。実験することなく、どのアプローチがよりうまくいくのか分かりません-Windowsは嘘をつくことを好むかもしれません。:)
クワックキホーテ2009
1

@MaciekSawickiが提案する解決策を試しましたが、機能させることができませんでした。デフォルトゲートウェイを無効なものに設定すると、ネットワーク(ローカルイントラネットさえ)に接続できませんでした。

代わりに、接続をDHCP(または有効な手動構成)に残し、DNSを手動で設定することでこれを達成しました。最初のDNSサーバーは、無効な IPアドレス(192.0.0.0)に設定し、2番目のDNSサーバーを空白のままにして、ドメインをIPアドレスに解決できないようにします。つまり、ドメイン名の代わりにIPを明示的に使用するものはすべて機能しますが、すべての名前が失敗します。これにより、エンドユーザーがFacebookを確認しようとすると、ほとんど役に立たなくなります。ユーザーが解決できるドメインの許可リストを追加する場合は、それらをホストファイルに入れることができます。IPアドレスが変更された場合は、必ず更新してください。

マイク
ソース
ユーザーがネットワークインターフェイスのDNSサーバーを編集できるほど十分に巧妙である場合、これは失敗します。
クラール
@klaarそれは本当です。これは、私がこれを行っていた特定のワークステーションで、管理者権限しか持っていません。私は従業員が印刷できるようにする必要がありましたが、このデバイスではインターネットにアクセスできませんでした。絶対に制御できない複数のクライアントがインターネットにアクセスできないような大規模でこれを行う必要がある場合、このソリューションは明らかに機能しません。その場合、DHCPサーバーのファイアウォールを使用して、MACアドレスに基づいて特定のクライアントにのみゲートウェイIPへのアクセスを許可することができます。
マイク
0

また、ルーターのデフォルトルートを変更することでうまくいくと思います。ただし、ルーターがポイントしていても、ルーターのルーティングは停止しません。DHCPサーバーによって公開されたデフォルトルートを変更すると、クライアントコンピューターからデフォルトルートのみが削除されます。ルートを手動で追加すると、誰でもインターネットにアクセスできるようになります。また、ルーター自体のデフォルトルートを削除することは、誰にとってもインターネットへのアクセスを拒否するため、良いアイデアとは言えません。

別のソリューションは、ソースIPに基づいたルーティングです。xxx128の下のIPアドレスへのインターネットアクセスをブロックして、他のユーザーを許可することができます。Linuxベースのルーターを使用している場合、このようなルールは簡単にプログラムできます。店舗で購入するルーターなどのルーターでは、これは大きな課題になる可能性があります。

多くのルーターには、IP範囲に基づいたアクセス許可もあります。独自のルーター構成を確認してください。または、Linuxに移行してください。

jfmessier
ソース
0

ルーターレベル(QOSに応じて)でこれを実行し、その特定のサーバー/コンピューターIPのすべてのトラフィック(LANからのアウトバウンド)をブロックするルールを設定できると思います。

そうすれば、サーバーは内部的には正常に機能しますが、ルーターは外部からすべてのアクセスをドロップ/拒否します。

ヤクブ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.