インターネットアクセスをブロックしながらローカルネットワークアクセスを許可する

Question

リモートプリント/スキャンサーバーとして使用されているネットワークコンピュータ（多数のユーザーが共有）を使用していますが、ローカルネットワークへの接続を許可しながら、マシンのインターネットアクセスをブロックする方法はありますか？

編集-

基本的に、そのWindows XP自分と部署の他の5人の間で共有されているマシン（ネットワーク対応スキャナーを購入せずにスキャナーを共有するための回避策）VNCサーバーが、動作中の「サーバー」に設定されていますコンピューターと各ユーザーがvncクライアントを使用してマシンにアクセスしています。マシンには独自のアカウントがあり、インターネットアクセスを無効にしたいのですが、グループポリシー設定を変更せずにコンピューター自体からすべてのインターネットアクセスを無効にできる方法はありますか？

William Hilsum · Accepted Answer

これをはるかに簡単に行うには（ただし、技術的には誰でもバイパスすることができます）、インターネットのプロパティに移動して、プロキシを存在しないものに変更するだけです。

これ以外に、イントラネットがない場合は、Windowsファイアウォールを確認し（これがVista +の場合、確信がないXPがこれをサポートしている）、ポート80の発信をブロックします。

マシンがロックダウンされていない場合、これらの方法の両方に対抗できます。

個人的には、ユーザーが他のプログラム以外にこれを使用する理由がない場合は、グループポリシーを使用して完全にロックダウンします。

John Peterson · Answer

ファイアウォールでデフォルトゲートウェイをブロックする

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

良い方法です

変更と比較して
- デフォルトゲートウェイアドレスから無効なアドレスnetsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 DHCPを無効にする必要はありません
- DNSアドレスから無効なアドレスnetsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no DNSを使用せずにアクセス（つまり、http://74.125.224.72）もブロックされています
に比べ route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1設定が保存されます

Maciek Sawicki · Answer

これを行う最も簡単な方法は、間違ったデフォルトゲートウェイを設定することだと思います。

Mike · Answer

@MaciekSawickiが提案する解決策を試してみましたが、機能させることができませんでした。デフォルトゲートウェイを無効なものに設定すると、ローカルイントラネットでさえ、ネットワークに接続できませんでした。

代わりに、DHCP（またはvalid手動構成）に接続を残し、DNSを手動で設定することでこれを実現しました。最初のDNSサーバーは、invalidIPアドレス（192.0.0.0）と2番目のものを空白のままにしたため、IPアドレスに解決できるドメインはありません。つまり、ドメイン名の代わりにIPを明示的に使用するものはすべて機能しますが、すべての名前は失敗します。これは、フェイスブックをチェックしようとするエンドユーザーにとってはほとんど役に立たないものにします。ユーザーが解決できるドメインの許可リストを追加する場合は、それらを hosts ファイルに入れることができます。 IPアドレスが変更された場合は、必ず更新してください。

jfmessier · Answer

また、ルーターのデフォルトルートを変更するとうまくいくと思います。ただし、ルーターがポイントしても、ルーターがルーティングを停止することはありません。 DHCPサーバーによって公開されている既定のルートを変更しても、クライアントコンピューターからのみ既定のルートが削除されます。ルートを手動で追加した人は、インターネットにアクセスできるようになります。また、ルーター自体のデフォルトルートを削除することは、すべての人がインターネットへのアクセスを拒否するため、良い考えではないかもしれません。

別の解決策は、ソースIPに基づいてルーティングすることです。 x.x.x.128の下のIPアドレスへのインターネットアクセスをブロックし、他のユーザーを許可することができます。 Linuxベースのルーターを使用している場合、そのようなルールは簡単にプログラムできます。店舗で購入するルーターなどの場合、これはより大きな課題になる可能性があります。

多くのルーターには、IP範囲に基づくアクセス許可もある場合があります。独自のルーター構成を確認してください。または、Linuxを使用してください！

Jakub · Answer

ルーターレベルで（QOSに応じて）これを実行し、その特定のサーバー/コンピューターIPのすべてのトラフィック（LANからの送信）をブロックするルールを設定できると思います。

これにより、サーバーは内部で問題なく機能しますが、ルーターは外部からのすべてのアクセスを拒否または拒否します。