autoriser l'accès au réseau local tout en bloquant l'accès à Internet
J'ai un ordinateur en réseau utilisé comme serveur d'impression/numérisation distant (partagé par de nombreux utilisateurs). Puis-je bloquer l'accès Internet des machines tout en lui permettant de se connecter à notre réseau local?
modifier-
Il s’agit essentiellement d’une machine Windows XP partagée avec cinq autres personnes de mon service (solution permettant de partager un scanner sans acheter de scanner compatible réseau). Le serveur VNC est configuré sur l’ordinateur 'serveur' l’utilisateur utilise un client vnc pour accéder à la machine. La machine a son propre compte et je voudrais désactiver l’accès à Internet. Est-il possible de désactiver tous les accès à Internet à partir de l'ordinateur sans modifier les paramètres de stratégie de groupe?
Le moyen le plus simple de le faire, et de loin (mais toute technique peut contourner), consiste simplement à accéder à des propriétés Internet et à remplacer le proxy par quelque chose d’existant.
Sinon, vous pouvez consulter le Pare-feu Windows (s'il s'agit de Vista +, ne pas savoir que XP le permet) et bloquer le port 80 sortant.
Ces deux méthodes peuvent être contrées si la machine n'est pas verrouillée.
Personnellement, s'il n'y a aucune raison pour que les utilisateurs soient sur ce programme, il suffit de le verrouiller complètement via la stratégie de groupe.
Bloquer la passerelle par défaut dans le pare-feu
netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1
est une bonne méthode car
- par rapport au changement de
- adresse de passerelle par défaut à une adresse invalide
netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0il ne nécessite pas la désactivation de DHCP - L'adresse DNS à une adresse invalide
netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no, l'accès sans utiliser DNS (par ex.http://74.125.224.72) est également bloqué
- adresse de passerelle par défaut à une adresse invalide
- par rapport à
route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1le réglage est enregistré
Je pense que le moyen le plus simple de procéder consiste à définir une passerelle par défaut incorrecte.
J'ai essayé la solution proposée par @MaciekSawicki, mais je n'ai pas réussi à la faire fonctionner. Lorsque je définissais la passerelle par défaut sur quelque chose d'invalide, il était impossible de se connecter au réseau, même à l'intranet local.
Au lieu de cela, j'ai accompli cela en laissant la connexion sur DHCP (ou valide configuration manuelle) et en configurant le DNS manuellement. Le premier serveur DNS, je l'ai défini sur une adresse IP non valide (192.0.0.0) et j'ai laissé le second en blanc afin qu'aucun domaine ne puisse être résolu en une adresse IP. Cela signifie que tout ce qui utilise explicitement l'adresse IP au lieu d'un nom de domaine fonctionnera, mais tous les noms échoueront. Cela le rend assez inutile pour les utilisateurs finaux qui essaient de vérifier leur facebook. Si vous souhaitez ajouter une liste d'autorisation de domaines que les utilisateurs peuvent résoudre, vous pouvez les mettre dans un fichier hôtes . Assurez-vous simplement de le tenir à jour si les adresses IP changent.
Je pense aussi que changer la route par défaut dans votre routeur devrait faire l'affaire. Cependant, cela n'empêchera pas le routeur de router, si on le pointe. La modification de l'itinéraire par défaut tel que publié par le serveur DHCP supprimera uniquement l'itinéraire par défaut des ordinateurs clients. Quiconque ajoute l’itinéraire manuellement retrouvera alors un accès Internet. Et supprimer la route par défaut FOR THE ROUTER LUI-MÊME pourrait ne pas être une bonne idée, car il refuse l'accès à Internet à tout le monde.
Une autre solution pourrait être le routage basé sur l'IP source. Vous pouvez bloquer l'accès Internet aux adresses IP sous x.x.x.128, autorisant les autres utilisateurs. Si vous avez un routeur basé sur Linux, de telles règles pourraient facilement être programmées. Avec un routeur tel que ceux que vous achetez au magasin, cela peut représenter un plus grand défi.
De nombreux routeurs peuvent également disposer d'autorisations d'accès pouvant être basées sur la plage IP. Vérifiez votre propre configuration de routeur. Ou tout simplement aller Linux!
Je pense que vous pouvez le faire au niveau du routeur (en fonction de votre qualité de service) et définir une règle pour BLOQUER tout le trafic (sortant du réseau local) pour cet IP/serveur spécifique.
De cette façon, le serveur peut fonctionner correctement en interne, mais le routeur supprimera/interdira tout accès en externe.