permitir o acesso à rede local enquanto bloqueia o acesso à Internet

Bloquear gateway padrão na firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

é um bom método porque

• em comparação com a alteração do endereço de gateway padrão & - para um endereço inválido netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 não requer a desactivação do DHCP
• o endereço DNS para um endereço inválido netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no o acesso sem usar DNS (f.e. http://74.125.224.72) é bloqueado demasiado
• em comparação com route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 a definição é guardada

Penso que a forma mais simples de o fazer é definir a porta de entrada por defeito errada.

Tentei a solução que @MaciekSawicki propõe, mas não consegui pô-la a funcionar. Quando defini o gateway padrão para algo inválido, não consegui ligá-lo de todo à rede - mesmo à intranet local.

Em vez disso, consegui isto deixando a ligação em DHCP (ou valid configuração manual) e configurando o DNS manualmente. O primeiro servidor DNS, configurei-o para um invalid endereço IP (192.0.0.0) e deixei o segundo em branco, pelo que nenhum domínio poderá ser resolvido para um endereço IP. Isto significa que qualquer coisa que utilize explicitamente o IP em vez de um nome de domínio irá funcionar, mas todos os nomes falharão. Isto torna-o bastante inútil para os utilizadores finais que tentam verificar o seu facebook. Se quiser adicionar uma lista de domínios permitidos que os utilizadores possam resolver, pode colocá-los num ficheiro hosts . Certifique-se apenas de o manter actualizado se os endereços IP mudarem.

Também penso que mudar a rota padrão no seu router deve fazer o truque. No entanto, isto não impedirá o encaminhador de rotear, se alguém apontar para ele. A alteração da rota padrão, tal como publicada pelo servidor DHCP, apenas removerá a rota padrão dos computadores clientes. Qualquer pessoa que acrescente manualmente a rota, voltará a ter acesso à Internet. E remover a rota padrão PARA O ROUTER ITSELF pode não ser uma boa ideia, uma vez que nega o acesso de todos à Internet.

Outra solução pode ser o encaminhamento com base no IP de origem. Poderia bloquear o acesso à Internet a endereços IP sob x.x.x.128, permitindo que outros o façam. Se tiver um router baseado em Linux, tais regras poderiam ser facilmente programadas. Com um router como os que compra na loja, este pode ser um desafio maior.

Muitos routers podem também ter permissões de acesso que podem ser baseadas no intervalo de IP. Verifique a sua própria configuração de router. Ou simplesmente ir para Linux !

A maneira mais fácil de o fazer (mas qualquer técnico poderia contornar) é simplesmente ir às propriedades da Internet e mudar o proxy para algo inexistente.

Fora isto, se não tiver intranet, poderia olhar para o Windows Firewall (se este for Vista +, não sei se XP suporta isto) e bloquear a porta 80 de saída.

Ambos estes métodos podem ser combatidos se a máquina não estiver bloqueada.

Pessoalmente, se não houver outra razão para os utilizadores estarem nisto além dos programas, basta bloqueá-la completamente através da política de grupo.

Acredito que poderia fazer isto ao nível do router (dependendo de si QOS) e colocar numa regra para BLOQUEAR todo o tráfego (de saída da LAN) para aquele IP específico do servidor/computador.

Dessa forma, o servidor pode funcionar bem internamente, mas o router deixará / negará todo o acesso externo.