Erlauben des lokalen Netzwerkzugriffs bei gleichzeitiger Sperrung des Internetzugriffs

Standard-Gateway in der Firewall blockieren

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

ist eine gute Methode, weil

• im Vergleich zum Ändern der
• Standard-Gateway-Adresse auf eine ungültige Adresse netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 kein DHCP-Deaktivieren erforderlich ist
• DNS-Adresse auf eine ungültige Adresse netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no auch der Zugriff ohne DNS (z.B. http://74.125.224.72) blockiert wird
• im Vergleich zu route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 wird die Einstellung gespeichert

Ich denke, der einfachste Weg, dies zu tun, ist, ein falsches Standard-Gateway einzustellen.

Ich habe die von @MaciekSawicki vorgeschlagene Lösung ausprobiert, aber ich konnte sie nicht zum Laufen bringen. Wenn ich das Standard-Gateway auf etwas Ungültiges einstellte, konnte er sich überhaupt nicht mit dem Netzwerk verbinden - nicht einmal mit dem lokalen Intranet.

Stattdessen erreichte ich dies, indem ich die Verbindung auf DHCP (oder gültiger manueller Konfiguration) beließ und den DNS manuell einstellte. Den ersten DNS-Server habe ich auf eine ungültige IP-Adresse gesetzt (192.0.0.0) und den zweiten leer gelassen, so dass keine Domains zu einer IP-Adresse aufgelöst werden können. Das bedeutet, dass alles, was explizit die IP anstelle eines Domainnamens verwendet, funktioniert, aber alle Namen scheitern. Das macht es ziemlich nutzlos für Endbenutzer, die versuchen, ihr Facebook zu überprüfen. Wenn Sie eine Liste zulässiger Domains hinzufügen möchten, die Benutzer auflösen können, können Sie diese in einer hosts -Datei ablegen. Stellen Sie nur sicher, dass Sie sie aktualisieren, wenn sich IP-Adressen ändern.

Ich denke auch, dass das Ändern der Standard-Route in Ihrem Router den Zweck erfüllen sollte. Allerdings wird dies den Router nicht vom Routing abhalten, wenn einer auf ihn zeigt. Das Ändern der Standardroute, wie sie vom DHCP-Server veröffentlicht wird, entfernt nur die Standardroute von den Client-Computern. Jeder, der die Route manuell hinzufügt, erhält dann den Internetzugang zurück. Und das Entfernen der Standard-Route FÜR DEN ROUTER SELBST ist möglicherweise keine gute Idee, da dadurch der Internetzugang für alle verweigert wird.

Eine andere Lösung könnte das Routing auf Basis der Quell-IP sein. Sie könnten den Internetzugang für IP-Adressen unter x.x.x.128 sperren und andere zulassen. Wenn Sie einen Linux-basierten Router haben, könnten solche Regeln leicht programmiert werden. Bei einem Router, wie Sie ihn im Laden kaufen, könnte dies eine größere Herausforderung darstellen.

Viele Router verfügen auch über Zugriffsberechtigungen, die auf IP-Bereichen basieren können. Prüfen Sie Ihre eigene Router-Konfiguration. Oder verwenden Sie einfach Linux!

Der einfachste Weg, dies bei weitem zu tun (aber jeder technische könnte zu umgehen) ist einfach auf Internet-Eigenschaften gehen und ändern Sie den Proxy auf etwas nicht vorhanden.

Ansonsten, wenn Sie kein Intranet haben, könnten Sie in der Windows-Firewall nachsehen (wenn dies Vista + ist, nicht sicher, ob XP dies unterstützt) und den ausgehenden Port 80 blockieren.

Beide Methoden können abgewehrt werden, wenn der Rechner nicht gesperrt ist.

Ich persönlich würde, wenn es für die Benutzer keinen Grund gibt, auf diesem Rechner zu sein, außer für ihre Programme, ihn einfach über die Gruppenrichtlinie komplett sperren.

Ich glaube, Sie könnten dies auf Router-Ebene tun (je nach QOS) und eine Regel einrichten, um den gesamten Datenverkehr (ausgehend vom LAN) für diese spezifische Server-/Computer-IP zu blockieren.

Auf diese Weise kann der Server intern einwandfrei funktionieren, aber der Router wird jeglichen Zugriff von außen verweigern / ablehnen.