permitindo acesso à rede local bloqueando o acesso à Internet [duplicado]

A maneira mais fácil de fazer isso, de longe (mas qualquer um técnico pode ignorar) é simplesmente ir para propriedades da Internet e alterar o proxy para algo inexistente.

Fora isso, se você não tem intranet, você pode olhar para o Firewall do Windows (se este for o Vista +, não tenho certeza se o XP suporta isso) e bloquear a porta 80 de saída.

Ambos os métodos podem ser anulados se a máquina não estiver bloqueada.

Pessoalmente, se não houver motivo para os usuários estarem nesse programa além dos programas, basta bloqueá-lo completamente por meio da política de grupo.

Bloquear o gateway padrão no firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

é um bom método porque

• comparado a mudar o
  • endereço do gateway padrão para um endereço inválido netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 não requer a desativação do DHCP
  • O endereço DNS para um endereço inválido netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no access sem o uso do DNS (por exemplo, http://74.125.224.72 ) também está bloqueado
• comparado a route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 , a configuração é salva

Acho que a maneira mais simples de fazer isso é configurar o gateway padrão errado.

Eu tentei a solução que o @MaciekSawicki propõe, mas não consegui fazê-lo funcionar. Quando defino o gateway padrão para algo inválido, ele não conseguiu se conectar à rede, nem mesmo à intranet local.

Em vez disso, consegui isso deixando a conexão no DHCP (ou válido configuração manual) e definindo o DNS manualmente. O primeiro servidor DNS, configurei-o para um endereço IP inválido ( 192.0.0.0 ) e deixei o segundo em branco, para que nenhum domínio possa ser resolvido para um endereço IP. Isso significa que qualquer coisa que use explicitamente o IP em vez de um nome de domínio funcionará, mas todos os nomes falharão. Isso torna bastante inútil para os usuários finais que tentam verificar o seu facebook. Se você quiser adicionar uma lista de permissões de domínios que os usuários possam resolver, coloque-os em hosts Arquivo. Apenas certifique-se de mantê-lo atualizado se os endereços IP mudarem.

Eu também acho que mudar a rota padrão no seu roteador deve fazer o truque. No entanto, isso não impedirá o roteador de rotear, se alguém apontar para ele. A alteração da rota padrão, conforme publicada pelo servidor DHCP, somente removerá a rota padrão dos computadores clientes. Qualquer pessoa que adicionar a rota manualmente terá acesso à internet novamente. E remover a rota padrão para o ROUTER PRÓPRIO pode não ser uma boa ideia, já que nega acesso à Internet para todos.

Outra solução pode ser o roteamento baseado no IP de origem. Você pode bloquear o acesso à Internet aos endereços IP em x.x.x.128, permitindo a outros. Se você tem um roteador baseado em Linux, essas regras podem ser facilmente programadas. Com um roteador como os que você compra na loja, isso pode ser um desafio maior.

Muitos roteadores também podem ter permissões de acesso que podem ser baseadas no intervalo de IPs. Verifique sua configuração do roteador. Ou apenas vá ao Linux!

Eu acredito que você poderia fazer isso no nível do roteador (dependendo do seu QoS) e colocar em uma regra para bloquear todo o tráfego (saída fora da LAN) para o servidor específico / IP do computador.

Dessa forma, o servidor pode funcionar bem internamente, mas o roteador descartará / negará o acesso externo.