permitir el acceso a la red local mientras se bloquea el acceso a internet [duplicar]

21

Tengo una computadora en red que se usa como un servidor remoto de impresión / escaneo (que es compartido por numerosos usuarios) ¿Hay alguna forma de bloquear el acceso a Internet de las máquinas y al mismo tiempo permitir que se conecte a nuestra red local?

editar-

Esencialmente, es una máquina con Windows XP compartida entre mí y otras 5 personas en mi departamento (una solución para compartir un escáner sin comprar un escáner habilitado para la red) El servidor VNC está configurado en la computadora del 'servidor' y cada usuario está utilizando un cliente vnc para acceder a la máquina. La máquina tiene su propia cuenta y me gustaría desactivar el acceso a Internet. ¿Hay alguna forma de deshabilitar todo el acceso a Internet desde la computadora sin cambiar la configuración de la política de grupo?

internet blocking Jon
fuente
44
Esto podría obtener una mejor respuesta en ServerFault.
C. Ross
¿Puede darnos más detalles? ¿Qué sistema operativo en la computadora en red? ¿Cuál es el dispositivo enrutador / puerta de enlace en la red local?
quack quijote

Respuestas:

1

La forma más fácil de hacer esto con diferencia (pero cualquier técnico podría evitarlo) es simplemente ir a las propiedades de Internet y cambiar el proxy a algo inexistente.

Aparte de esto, si no tiene una intranet, puede mirar el Firewall de Windows (si se trata de Vista +, no estoy seguro de que XP lo admita) y bloquear el puerto 80 saliente.

Ambos métodos se pueden contrarrestar si la máquina no está bloqueada.

Personalmente, si no hay ninguna razón para que los usuarios participen en este programa que no sea el suyo, simplemente bloquéelo completamente a través de la política de grupo.

William Hilsum
fuente
66
-1: cambiar los proxies y bloquear el puerto 80 (sin mencionar el puerto 443, para HTTPS) puede cerrar un navegador web, pero el "acceso a Internet" no se limita a los navegadores. +1: bloquear mediante una política de grupo es una buena sugerencia.
quack quijote
bueno, estamos hablando de una máquina utilizada como servidor que necesita acceso del usuario (por lo general, cambiar el proxy o bloquear el puerto 80 es suficiente para desalentar a las personas a usarlo), por lo general, si abren IE y ven que la página no se puede mostrar, eso es suficiente ! ... pero al menos termino con un 0 y no un -1 en tus libros, ¡así que +1 de mi parte! :)
William Hilsum
tal vez el -1 se aplica mejor a la pregunta por no ser claro ...;)
quack quixote
9

Bloquear puerta de enlace predeterminada en el firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

es un buen método porque

  • en comparación con el cambio de
    • dirección de puerta de enlace predeterminada a una dirección netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0no válida , no requiere deshabilitar DHCP
    • La dirección DNS a un netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=noacceso de dirección no válido sin usar DNS (fe http://74.125.224.72) también está bloqueada
  • en comparación con route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1la configuración se guarda
John Peterson
fuente
Presumiblemente, para revertir esta regla, ¿es justo netsh advfirewall firewall delete "Block default gateway"?
Dan Atkinson
2
netsh advfirewall firewall delete rule name="Block default gateway"
John Peterson
8

Creo que la forma más sencilla de hacerlo es establecer una puerta de enlace predeterminada incorrecta.

Maciek Sawicki
fuente
3
o elimine la ruta predeterminada por completo, por lo que las únicas IP que puede enrutar son las de sus interfaces locales. sin experimentar, no estoy seguro de qué enfoque funcionaría mejor: es posible que Windows prefiera que le mientan. :)
quack quijote
1

Probé la solución que propone @MaciekSawicki, pero no pude hacer que funcionara. Cuando configuré la puerta de enlace predeterminada como algo no válido, no pude conectarme a la red, ni siquiera a la intranet local.

En cambio, logré esto dejando la conexión en DHCP (o configuración manual válida ) y configurando el DNS manualmente. El primer servidor DNS, lo configuré en una dirección IP no válida ( 192.0.0.0) y dejé el segundo en blanco, por lo que no se podrán resolver dominios a una dirección IP. Esto significa que todo lo que explícitamente use la IP en lugar de un nombre de dominio funcionará, pero todos los nombres fallarán. Esto lo hace bastante inútil para los usuarios finales que intentan revisar su facebook. Si desea agregar una lista de permitidos de dominios que los usuarios pueden resolver, puede colocarlos en un archivo de hosts . Solo asegúrese de mantenerlo actualizado si cambian las direcciones IP.

Micro
fuente
Esto fallará cuando el usuario sea capaz y lo suficientemente inteligente como para editar los servidores DNS para su interfaz de red.
klaar
@klaar Eso es cierto. Esta era una estación de trabajo específica en la que estaba haciendo esto y solo tengo derechos de administrador. Necesitaba que los empleados pudieran imprimir, pero no acceder a Internet en este dispositivo, y esto es lo que funcionó para mí. Si necesita que esto se haga a mayor escala donde varios clientes sobre los que no tiene control absoluto no deberían poder acceder a Internet, esta solución obviamente no funcionaría. En ese caso, es posible que desee utilizar un firewall en su servidor DHCP para otorgar acceso a la puerta de enlace IP solo a clientes específicos en función de sus direcciones MAC.
Mike
0

También creo que cambiar la ruta predeterminada en su enrutador debería ser el truco. Sin embargo, esto no impedirá que el enrutador se enrute, si uno lo señala. Cambiar la ruta predeterminada según lo publicado por el servidor DHCP solo eliminará la ruta predeterminada de las computadoras cliente. Cualquiera que agregue la ruta manualmente obtendrá de nuevo acceso a Internet. Y eliminar la ruta predeterminada PARA EL ENRUTADOR MISMO puede no ser una buena idea, ya que niega el acceso a Internet para todos.

Otra solución podría ser el enrutamiento basado en la IP de origen. Puede bloquear el acceso a Internet a las direcciones IP en xxx128, permitiendo que otros. Si tiene un enrutador basado en Linux, tales reglas podrían programarse fácilmente. Con un enrutador como los que compra en la tienda, este puede ser un desafío mayor.

Muchos enrutadores también pueden tener permisos de acceso que pueden basarse en el rango de IP. Verifique la configuración de su propio enrutador. ¡O simplemente ve a Linux!

jfmessier
fuente
0

Creo que podría hacer esto en el nivel del enrutador (dependiendo de su QOS) y establecer una regla para BLOQUEAR todo el tráfico (salida de LAN) para ese servidor específico / IP de la computadora.

De esa manera, el servidor puede funcionar bien internamente, pero el enrutador dejará / negará todo acceso externo.

Jakub
fuente