permettendo l'accesso alla rete locale e bloccando l'accesso a internet

Bloccare il gateway predefinito nel firewall

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

è un buon metodo perché

• rispetto a cambiare l'indirizzo
• gateway predefinito a un indirizzo non valido netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 non richiede la disabilitazione del DHCP
• indirizzo DNS a un indirizzo non valido netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no anche l'accesso senza usare il DNS (per esempio http://74.125.224.72) è bloccato
• rispetto a route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 l'impostazione è salvata

Penso che il modo più semplice per farlo sia impostare un gateway predefinito sbagliato.

Ho provato la soluzione proposta da @MaciekSawicki, ma non sono riuscito a farla funzionare. Quando ho impostato il gateway predefinito su qualcosa di non valido, non è stato in grado di connettersi alla rete - nemmeno alla intranet locale.

Invece, ho ottenuto questo lasciando la connessione su DHCP (o configurazione manuale valida) e impostando il DNS manualmente. Il primo server DNS, l'ho impostato su un indirizzo IP invalido (192.0.0.0) e ho lasciato il secondo vuoto, così nessun dominio potrà essere risolto ad un indirizzo IP. Questo significa che qualsiasi cosa che usi esplicitamente l'IP invece di un nome di dominio funzionerà, ma tutti i nomi falliranno. Questo lo rende abbastanza inutile per gli utenti finali che cercano di controllare il loro Facebook. Se vuoi aggiungere una lista di domini che gli utenti possono risolvere, puoi metterli in un file hosts . Assicurati solo di tenerlo aggiornato se gli indirizzi IP cambiano.

Penso anche che cambiare il percorso predefinito nel tuo router dovrebbe fare il trucco. Tuttavia, questo non fermerà il router dal routing, se uno punta ad esso. Cambiare la rotta predefinita pubblicata dal server DHCP rimuoverà solo la rotta predefinita dai computer client. Chiunque aggiunga il percorso manualmente riavrà l'accesso a internet. E rimuovere la rotta predefinita PER IL ROUTER STESSO potrebbe non essere una buona idea, poiché nega l'accesso a Internet a tutti.

Un'altra soluzione potrebbe essere il routing basato sull'IP sorgente. Si potrebbe bloccare l'accesso a internet agli indirizzi IP sotto x.x.x.128, permettendo gli altri. Se avete un router basato su Linux, tali regole potrebbero essere facilmente programmate. Con un router come quelli che si comprano al negozio, questo potrebbe essere una sfida più grande.

Molti router possono anche avere permessi di accesso che possono essere basati sull'intervallo IP. Controllate la configurazione del vostro router. O semplicemente andare su Linux!

Il modo più semplice per farlo di gran lunga (ma chiunque tecnico potrebbe bypassare) è semplicemente andare in proprietà internet e cambiare il proxy in qualcosa di inesistente.

A parte questo, se non hai una intranet, potresti guardare Windows Firewall (se questo è Vista +, non sono sicuro che XP lo supporti) e bloccare la porta 80 in uscita.

Entrambi questi metodi possono essere contrastati se la macchina non è bloccata.

Personalmente, se non c'è alcuna ragione per gli utenti di essere su questa macchina oltre ai loro programmi, basta bloccarla completamente attraverso la politica di gruppo.

Credo che potreste farlo a livello di router (a seconda del vostro QOS) e mettere una regola per BLOCCARE tutto il traffico (in uscita dalla LAN) per quello specifico server/computer IP.

In questo modo il server può funzionare bene internamente, ma il router rifiuterà / negherà tutti gli accessi all'esterno.