2009-12-10 14:34:19 +0000 2009-12-10 14:34:19 +0000
20
20

インターネットアクセスをブロックしながらローカルネットワークアクセスを許可する

リモートプリント/スキャンサーバーとして使用されるネットワーク接続されたコンピュータを持っています(多数のユーザーが共有しています) ローカルネットワークへの接続を許可しながら、そのマシンのインターネットアクセスをブロックする方法はありますか?

edit-

本質的には、私と私の部署の他の5人で共有しているWindows XPマシンです(ネットワーク対応スキャナを購入せずにスキャナを共有するための回避策です)。マシンには独自のアカウントがあり、インターネットアクセスを無効にしたいと思っています。グループポリシーの設定を変更せずに、コンピュータからのインターネットアクセスをすべて無効にする方法はありますか?

回答 (6)

9
9
9
2013-01-30 01:46:29 +0000
netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

は、

  • デフォルトゲートウェイアドレスを無効なアドレスに変更する netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 DHCPを無効にする必要がない
  • DNSアドレスを無効なアドレスに変更する netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no DNSを使用しないアクセス(例えばhttp://74.125.224.72)もブロックされる
  • route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1と比較して、設定が保存されるからです。
8
8
8
2009-12-10 14:52:11 +0000

一番簡単な方法は、デフォルトゲートウェイの設定を間違えることだと思います。

1
1
1
2013-02-03 01:02:28 +0000

MaciekSawickiさんが提案している解決策を試してみましたが、うまくいきませんでした。デフォルトのゲートウェイを無効なものに設定すると、ネットワークに全く接続できなくなってしまいました。

その代わりに、接続をDHCP(またはvalidの手動設定)にしておいて、DNSを手動で設定することでこれを達成しました。最初のDNSサーバは、invalid IPアドレス(192.0.0.0)に設定し、2番目のサーバは空白にしました。これは、ドメイン名の代わりにIPアドレスを明示的に使用するものは何でも動作しますが、すべての名前は失敗することを意味します。これは、エンドユーザーが自分のfacebookをチェックしようとしている場合にはかなり役に立たないということになります。ユーザーが解決できるドメインの許可リストを追加したい場合は、hostsファイルに記述してください。ただ、IPアドレスが変更された場合は、それを更新するようにしてください。

0
0
0
2009-12-10 18:44:10 +0000

また、ルータのデフォルトルートを変更することで、うまくいくはずだと思います。しかし、これでは、ルータを指し示すものがあれば、ルータのルーティングを止めることはできません。DHCPサーバが公開しているデフォルトルートを変更しても、クライアントコンピュータからデフォルトルートが削除されるだけです。手動でルートを追加した人は、インターネットアクセスを取り戻すことができます。また、ルータ自身のデフォルトルートを削除することは、誰もがインターネットへのアクセスを拒否することになるので、良い考えとは言えないかもしれません。

もう一つの解決策は、ソースIPに基づいてルーティングすることかもしれません。x.x.x.x.128以下のIPアドレスへのインターネットアクセスをブロックし、他のIPアドレスを許可することができます。Linuxベースのルータがあれば、そのようなルールを簡単にプログラムすることができます。店頭で買うようなルーターでは、これはもっと大きな問題になるかもしれません。

多くのルーターは、IP範囲に基づいてアクセス許可を設定している場合もあります。ご自身のルータの設定を確認してみてください。もしくはLinux!

0
0
0
2009-12-10 14:43:19 +0000

これを行う最も簡単な方法は、インターネットのプロパティにアクセスして、プロキシを存在しないものに変更することです(しかし、技術者なら誰でも回避できます)。

その他、イントラネットがない場合は、Windowsファイアウォール(Vista+の場合、XPがサポートしているかどうかは不明)を見て、80番ポートの発信をブロックすることができます。

どちらの方法も、マシンがロックダウンされていなければ対策は可能です。

個人的には、ユーザーがプログラム以外にこのマシンを使う理由がない場合は、グループポリシーで完全にロックダウンしてください。

0
0
0
2009-12-10 14:39:17 +0000

私はあなたがルータレベルでこれを行うことができると信じています (あなたのQOSに応じて) と、その特定のサーバー/コンピュータのIPのためのすべてのトラフィックをブロックするためのルールを置く (LANオフアウトバウンド)。

そのようにしてサーバは内部的にはうまく機能することができますが、ルータは外部からのすべてのアクセスをドロップ/拒否します。

関連する質問

12
3
4
16
3