在阻止互联网访问的同时允许本地网络访问[重复]

我有一台用作远程打印/扫描服务器的联网计算机（由许多用户共享），有什么方法可以阻止机器访问互联网，同时仍然允许它连接到我们的本地网络？

编辑-

本质上，它是我本人和本部门其他5个人之间共享的Windows XP计算机（一种解决方法，无需购买支持网络的扫描仪即可共享扫描仪），在代理的“服务器”计算机上设置了VNC服务器，并且每个用户都在使用vnc客户端访问机器。机器有自己的帐户，我想禁用互联网访问。有没有办法可以在不更改组策略设置的情况下从计算机本身禁用所有Internet访问？

到目前为止，最简单的方法（但是任何技术人员都可以绕过）只是去互联网上的财产并将代理更改为不存在的代理。

除此之外，如果没有Intranet，则可以查看Windows防火墙（如果是Vista +，则不确定XP是否支持此功能），并阻止端口80出站。

如果机器未锁定，则可以同时使用这两种方法。

就个人而言，如果除了程序之外没有其他理由让用户参与其中，只需通过组策略将其完全锁定即可。

阻止防火墙中的默认网关

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

是个好方法，因为

• 与更改
  • 默认网关地址为无效地址netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0，不需要禁用DHCP
  • netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no不使用DNS（fe http://74.125.224.72）的DNS地址到无效地址访问也被阻止
• 与route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1设置相比

我认为最简单的方法是设置错误的默认网关。

我尝试了@MaciekSawicki提出的解决方案，但无法正常工作。当我将默认网关设置为无效网关时，它根本无法连接到网络-甚至是本地Intranet。

相反，我是通过将连接保留在DHCP（或有效的手动配置）上并手动设置DNS来实现的。第一台DNS服务器，我将其设置为无效的 IP地址（192.0.0.0），而第二台DNS服务器则留为空白，因此无法将任何域解析为IP地址。这意味着任何明确使用IP而不是域名的方法都可以使用，但是所有名称都将失败。这对于尝试检查其Facebook的最终用户而言几乎没有用。如果要添加用户可以解析的域的允许列表，可以将其放入主机文件中。如果IP地址更改，只需确保使其保持更新即可。

我还认为，更改路由器中的默认路由应该可以解决问题。但是，这不会阻止路由器进行路由（如果有人指向它）。更改DHCP服务器发布的默认路由只会从客户端计算机上删除默认路由。手动添加路线的任何人都将重新获得Internet访问权限。并且为路由器自己删除默认路由可能不是一个好主意，因为它拒绝所有人使用Internet。

另一个解决方案是基于源IP的路由。您可以阻止互联网访问xxx128下的IP地址，并允许其他人访问。如果您有基于Linux的路由器，则可以轻松地编写此类规则。对于在商店购买的路由器，这可能是一个更大的挑战。

许多路由器可能还具有基于IP范围的访问权限。检查您自己的路由器配置。或者只是去Linux！

我相信您可以在路由器级别（取决于您的QOS）执行此操作，并制定规则以阻止该特定服务器/计算机IP的所有流量（LAN出站）。

这样，服务器可以在内部正常运行，但是路由器将在外部放弃/拒绝所有访问。