인터넷 액세스를 차단하면서 로컬 네트워크 액세스 허용 [중복]

21

원격 인쇄 / 스캔 서버로 사용되는 네트워크 컴퓨터가 있습니다 (많은 사용자가 공유 함) 여전히 로컬 네트워크에 연결하면서 컴퓨터의 인터넷 액세스를 차단할 수있는 방법이 있습니까?

편집하다-

기본적으로 Windows XP 컴퓨터는 나와 내 부서의 다른 5 명 (네트워크 지원 스캐너를 구입하지 않고 스캐너를 공유하는 해결 방법)간에 공유됩니다. 작동하는 '서버'컴퓨터에 VNC 서버가 설정되어 있으며 각 사용자는 vnc 클라이언트를 사용하고 있습니다. 기계에 접근하십시오. 컴퓨터에 자체 계정이 있으며 인터넷 액세스를 비활성화하고 싶습니다. 그룹 정책 설정을 변경하지 않고 컴퓨터 자체에서 모든 인터넷 액세스를 비활성화 할 수있는 방법이 있습니까?

internet blocking

— 존
소스

4

이것은 실제로 ServerFault에 대해 더 나은 응답을 얻을 수 있습니다.

— C. Ross

더 자세한 정보를 알려주시겠습니까? 네트워크 컴퓨터의 어떤 OS? 로컬 네트워크의 라우터 / 게이트웨이 장치는 무엇입니까?

— quack quixote

1

이 작업을 수행하는 가장 쉬운 방법은 기술 전문가가 우회 할 수있는 방법으로 인터넷 속성으로 이동하여 프록시를 존재하지 않는 것으로 변경하는 것입니다.

이 외에 인트라넷이없는 경우 Windows 방화벽 (Vista + 인 경우 XP에서 지원하지 않는 경우)을보고 포트 80 발신을 차단할 수 있습니다.

기계가 잠겨 있지 않은 경우이 두 가지 방법 모두에 대응할 수 있습니다.

개인적으로, 사용자가 프로그램 이외의 다른 프로그램을 사용할 이유가 없다면 그룹 정책을 통해 완전히 잠그십시오.

— 윌리엄 힐섬
소스

6

-1 : 프록시 변경 및 포트 80 차단 (HTTPS의 경우 포트 443은 물론)은 웹 브라우저를 종료 할 수 있지만 "인터넷 액세스"는 브라우저로 제한되지 않습니다. +1 : 그룹 정책을 통한 잠금은 좋은 제안입니다.

— quack quixote

글쎄, 우리는 사용자 액세스가 필요한 서버로 사용되는 머신에 대해 이야기하고 있습니다. 일반적으로 프록시를 변경하거나 포트 80을 차단하면 사람들이 그것을 사용하지 못하게 할 수 있습니다. 일반적으로 IE를 열고 페이지를 표시 할 수 없다면 충분합니다. ! ... 그러나 적어도 나는 당신의 책에서 -1이 아닌 0으로 끝납니다. :)

— William Hilsum 2009

어쩌면 -1 더 명확 것에 대해 질문에 적용되는 ...;)

— 돌팔이 의사 키호테

9

방화벽에서 기본 게이트웨이 차단

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

좋은 방법입니다 때문에

변경에 비해
- 기본 게이트웨이 주소를 유효하지 않은 주소로 지정 netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0하면 DHCP를 비활성화 할 필요가 없습니다.
- DNS netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no(fe http://74.125.224.72) 를 사용하지 않는 잘못된 주소 액세스 에 대한 DNS 주소 도 차단됩니다.
route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1설정에 비해 저장됩니다

— 존 피터슨
소스

아마도이 규칙을 뒤집기 위해 그것은 단지 netsh advfirewall firewall delete "Block default gateway"?

— Dan Atkinson

2

netsh advfirewall firewall delete rule name="Block default gateway"

— 존 피터슨

8

가장 간단한 방법은 기본 게이트웨이를 잘못 설정하는 것입니다.

— 메이 키 사 위키
소스

3

또는 기본 경로를 완전히 제거하여 라우팅 할 수있는 유일한 IP는 로컬 인터페이스의 IP입니다. 실험하지 않고 어떤 방법이 더 잘 작동하는지 잘 모르겠습니다 .Windows가 거짓말을 선호 할 수 있습니다. :)

— quack quixote

1

@MaciekSawicki가 제안한 솔루션을 시도했지만 작동시키지 못했습니다. 기본 게이트웨이를 잘못된 것으로 설정하면 로컬 인트라넷을 포함하여 네트워크에 전혀 연결할 수 없습니다.

대신 DHCP (또는 유효한 수동 구성)로 연결을 유지 하고 DNS를 수동으로 설정 하여이 작업을 수행했습니다 . 첫 번째 DNS 서버는 유효하지 않은 IP 주소 ( 192.0.0.0)로 설정하고 두 번째 DNS 서버를 비워 두었으므로 도메인을 IP 주소로 확인할 수 없습니다. 즉, 도메인 이름 대신 IP를 명시 적으로 사용하는 것은 작동하지만 모든 이름은 실패합니다. 이로 인해 최종 사용자가 페이스 북을 확인하려고 할 때 쓸모가 없습니다. 사용자가 확인할 수있는 도메인의 허용 목록을 추가하려는 경우 해당 파일을 호스트 파일 에 넣을 수 있습니다. IP 주소가 변경되면 업데이트를 유지하십시오.

— 마이크
소스

사용자가 자신의 네트워크 인터페이스에 대한 DNS 서버를 편집 할 수 있고 영리 할 때 실패합니다.

— klaar

@klaar 사실입니다. 이것은 내가 관리자 권한이있는 특정 워크 스테이션이었습니다. 직원이 인쇄 할 수 있어야했지만이 장치에서 인터넷에 액세스 할 수 없었으므로 이것이 저에게 효과적이었습니다. 절대적으로 제어 할 수없는 여러 클라이언트가 인터넷에 액세스 할 수 없어야하는 대규모로이 작업을 수행해야하는 경우에는이 솔루션이 작동하지 않습니다. 이 경우 DHCP 서버에서 방화벽을 사용하여 MAC 주소를 기반으로 특정 클라이언트에게만 게이트웨이 IP에 대한 액세스 권한을 부여 할 수 있습니다.

— Mike

0

또한 라우터에서 기본 경로를 변경하면 트릭을 수행해야한다고 생각합니다. 그러나 라우터가 라우터를 가리 키더라도 라우팅이 중지되지는 않습니다. DHCP 서버에서 게시 한 기본 경로를 변경하면 클라이언트 컴퓨터에서 기본 경로 만 제거됩니다. 경로를 수동으로 추가하면 누구나 인터넷에 다시 액세스 할 수 있습니다. 라우터 ITSELF의 기본 경로를 제거하면 모든 사람의 인터넷 액세스가 거부되므로 좋은 생각이 아닙니다.

다른 솔루션은 소스 IP를 기반으로 라우팅 될 수 있습니다. xxx128에서 IP 주소에 대한 인터넷 액세스를 차단하여 다른 사람들을 허용 할 수 있습니다. Linux 기반 라우터가있는 경우 이러한 규칙을 쉽게 프로그래밍 할 수 있습니다. 상점에서 구매하는 라우터와 같은 라우터의 경우 더 큰 도전이 될 수 있습니다.

많은 라우터에는 IP 범위를 기반으로하는 액세스 권한이있을 수도 있습니다. 자신의 라우터 구성을 확인하십시오. 아니면 그냥 리눅스로 가십시오!

— jfmessier
소스

0

라우터 수준에서 (QOS에 따라)이 작업을 수행하고 해당 특정 서버 / 컴퓨터 IP에 대한 모든 트래픽 (LAN에서 아웃 바운드)을 차단하는 규칙을 적용 할 수 있다고 생각합니다.

이렇게하면 서버가 내부적으로는 제대로 작동 할 수 있지만 라우터는 외부에서 모든 액세스를 삭제 / 거부합니다.

— 자쿠 브
소스