web-dev-qa-db-ja.com

インターネットアクセスをブロックしながらローカルネットワークアクセスを許可する

リモートプリント/スキャンサーバーとして使用されているネットワークコンピュータ(多数のユーザーが共有)を使用していますが、ローカルネットワークへの接続を許可しながら、マシンのインターネットアクセスをブロックする方法はありますか?

編集-

基本的に、そのWindows XP自分と部署の他の5人の間で共有されているマシン(ネットワーク対応スキャナーを購入せずにスキャナーを共有するための回避策)VNCサーバーが、動作中の「サーバー」に設定されていますコンピューターと各ユーザーがvncクライアントを使用してマシンにアクセスしています。マシンには独自のアカウントがあり、インターネットアクセスを無効にしたいのですが、グループポリシー設定を変更せずにコンピューター自体からすべてのインターネットアクセスを無効にできる方法はありますか?

20
Jon

これをはるかに簡単に行うには(ただし、技術的には誰でもバイパスすることができます)、インターネットのプロパティに移動して、プロキシを存在しないものに変更するだけです。

これ以外に、イントラネットがない場合は、Windowsファイアウォールを確認し(これがVista +の場合、確信がないXPがこれをサポートしている)、ポート80の発信をブロックします。

マシンがロックダウンされていない場合、これらの方法の両方に対抗できます。

個人的には、ユーザーが他のプログラム以外にこれを使用する理由がない場合は、グループポリシーを使用して完全にロックダウンします。

0
William Hilsum

ファイアウォールでデフォルトゲートウェイをブロックする

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

良い方法です

  • 変更と比較して
    • デフォルトゲートウェイアドレスから無効なアドレスnetsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 DHCPを無効にする必要はありません
    • DNSアドレスから無効なアドレスnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no DNSを使用せずにアクセス(つまり、http://74.125.224.72)もブロックされています
  • に比べ route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1設定が保存されます
9
John Peterson

これを行う最も簡単な方法は、間違ったデフォルトゲートウェイを設定することだと思います。

8
Maciek Sawicki

@MaciekSawickiが提案する解決策を試してみましたが、機能させることができませんでした。デフォルトゲートウェイを無効なものに設定すると、ローカルイントラネットでさえ、ネットワークに接続できませんでした。

代わりに、DHCP(またはvalid手動構成)に接続を残し、DNSを手動で設定することでこれを実現しました。最初のDNSサーバーは、invalidIPアドレス(192.0.0.0)と2番目のものを空白のままにしたため、IPアドレスに解決できるドメインはありません。つまり、ドメイン名の代わりにIPを明示的に使用するものはすべて機能しますが、すべての名前は失敗します。これは、フェイスブックをチェックしようとするエンドユーザーにとってはほとんど役に立たないものにします。ユーザーが解決できるドメインの許可リストを追加する場合は、それらを hosts ファイルに入れることができます。 IPアドレスが変更された場合は、必ず更新してください。

1
Mike

また、ルーターのデフォルトルートを変更するとうまくいくと思います。ただし、ルーターがポイントしても、ルーターがルーティングを停止することはありません。 DHCPサーバーによって公開されている既定のルートを変更しても、クライアントコンピューターからのみ既定のルートが削除されます。ルートを手動で追加した人は、インターネットにアクセスできるようになります。また、ルーター自体のデフォルトルートを削除することは、すべての人がインターネットへのアクセスを拒否するため、良い考えではないかもしれません。

別の解決策は、ソースIPに基づいてルーティングすることです。 x.x.x.128の下のIPアドレスへのインターネットアクセスをブロックし、他のユーザーを許可することができます。 Linuxベースのルーターを使用している場合、そのようなルールは簡単にプログラムできます。店舗で購入するルーターなどの場合、これはより大きな課題になる可能性があります。

多くのルーターには、IP範囲に基づくアクセス許可もある場合があります。独自のルーター構成を確認してください。または、Linuxを使用してください!

0
jfmessier

ルーターレベルで(QOSに応じて)これを実行し、その特定のサーバー/コンピューターIPのすべてのトラフィック(LANからの送信)をブロックするルールを設定できると思います。

これにより、サーバーは内部で問題なく機能しますが、ルーターは外部からのすべてのアクセスを拒否または拒否します。

0
Jakub