2009-12-10 14:34:19 +0000 2009-12-10 14:34:19 +0000
20
20

permitir o acesso à rede local enquanto bloqueia o acesso à Internet

Tenho um computador em rede que é utilizado como servidor de impressão/scan remoto (que é partilhado por numerosos utilizadores) Existe alguma forma de bloquear o acesso das máquinas à Internet, permitindo ao mesmo tempo a ligação à nossa rede local?

editar-

Essencialmente, é uma máquina Windows XP partilhada entre mim e 5 outros no meu departamento (uma alternativa para partilhar um scanner sem adquirir um scanner activado por rede) O servidor VNC é configurado no computador ‘servidor’ em acção e cada utilizador está a utilizar um cliente vnc para aceder à máquina. A máquina tem a sua própria conta e eu gostaria de desactivar o acesso à Internet. Existe alguma forma de desactivar todo o acesso à Internet a partir do próprio computador sem alterar as definições da política de grupo?

Respostas (6)

9
9
9
2013-01-30 01:46:29 +0000

Bloquear gateway padrão na firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

é um bom método porque

  • em comparação com a alteração do endereço de gateway padrão & - para um endereço inválido netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 não requer a desactivação do DHCP
  • o endereço DNS para um endereço inválido netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no o acesso sem usar DNS (f.e. http://74.125.224.72) é bloqueado demasiado
  • em comparação com route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 a definição é guardada
8
8
8
2009-12-10 14:52:11 +0000

Penso que a forma mais simples de o fazer é definir a porta de entrada por defeito errada.

1
1
1
2013-02-03 01:02:28 +0000

Tentei a solução que @MaciekSawicki propõe, mas não consegui pô-la a funcionar. Quando defini o gateway padrão para algo inválido, não consegui ligá-lo de todo à rede - mesmo à intranet local.

Em vez disso, consegui isto deixando a ligação em DHCP (ou valid configuração manual) e configurando o DNS manualmente. O primeiro servidor DNS, configurei-o para um invalid endereço IP (192.0.0.0) e deixei o segundo em branco, pelo que nenhum domínio poderá ser resolvido para um endereço IP. Isto significa que qualquer coisa que utilize explicitamente o IP em vez de um nome de domínio irá funcionar, mas todos os nomes falharão. Isto torna-o bastante inútil para os utilizadores finais que tentam verificar o seu facebook. Se quiser adicionar uma lista de domínios permitidos que os utilizadores possam resolver, pode colocá-los num ficheiro hosts . Certifique-se apenas de o manter actualizado se os endereços IP mudarem.

0
0
0
2009-12-10 18:44:10 +0000

Também penso que mudar a rota padrão no seu router deve fazer o truque. No entanto, isto não impedirá o encaminhador de rotear, se alguém apontar para ele. A alteração da rota padrão, tal como publicada pelo servidor DHCP, apenas removerá a rota padrão dos computadores clientes. Qualquer pessoa que acrescente manualmente a rota, voltará a ter acesso à Internet. E remover a rota padrão PARA O ROUTER ITSELF pode não ser uma boa ideia, uma vez que nega o acesso de todos à Internet.

Outra solução pode ser o encaminhamento com base no IP de origem. Poderia bloquear o acesso à Internet a endereços IP sob x.x.x.128, permitindo que outros o façam. Se tiver um router baseado em Linux, tais regras poderiam ser facilmente programadas. Com um router como os que compra na loja, este pode ser um desafio maior.

Muitos routers podem também ter permissões de acesso que podem ser baseadas no intervalo de IP. Verifique a sua própria configuração de router. Ou simplesmente ir para Linux !

0
0
0
2009-12-10 14:43:19 +0000

A maneira mais fácil de o fazer (mas qualquer técnico poderia contornar) é simplesmente ir às propriedades da Internet e mudar o proxy para algo inexistente.

Fora isto, se não tiver intranet, poderia olhar para o Windows Firewall (se este for Vista +, não sei se XP suporta isto) e bloquear a porta 80 de saída.

Ambos estes métodos podem ser combatidos se a máquina não estiver bloqueada.

Pessoalmente, se não houver outra razão para os utilizadores estarem nisto além dos programas, basta bloqueá-la completamente através da política de grupo.

0
0
0
2009-12-10 14:39:17 +0000

Acredito que poderia fazer isto ao nível do router (dependendo de si QOS) e colocar numa regra para BLOQUEAR todo o tráfego (de saída da LAN) para aquele IP específico do servidor/computador.

Dessa forma, o servidor pode funcionar bem internamente, mas o router deixará / negará todo o acesso externo.