Как запретить доступ в интернет | Windows
На прошлом вебинаре задали вопрос «Как ограничить доступ к сети интернет для разных компьютеров»?.
Давайте попробуем решить данный вопрос
Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку
Лично я бы выбрал один из следующих способов:
- Настройка файла HOSTS – благодаря чему, мы можем указывать на какие сайты можно ходить, а на какие нет. Об этом я уже снимал видео.
- Используя прокси-сервер или файервол, который устанавливается на пути между интернетом и локальной сетью и в зависимости от настроек, выдает тем или иным пользователям и компьютерам доступ в интернет. Про подобную систему я так же рассказывал в видео по программе IDECO UTM, более подробно понять, как это работает вы, можете посмотрев данное видео.
- Настройка антивируса – как правило в современных корпоративных антивирусных решениях есть модуль, отвечающий за интернет контроль, настроив который мы можете так же ограничивать доступ к сайтам.
- Настройка сетевого подключения
- Настройка брандмауэра Windows
Вот как раз о последних двух, мы сейчас поговорим более подробно…
Настройка сетевого подключения
Если у вас интернет раздает сервер, то в сетевых настройках мы указываем IP адрес сервера, который раздает интернет. И указываем мы его в качестве шлюза.
Как работает шлюз?
Есть сервер с двумя сетевыми картами, одна смотрит в локальную сеть, вторая в сеть интернет. И все настроено так, что, если какой-то компьютер в локальной сети хочет выйти в сеть интернет, он отправляет свой запрос на ШЛЮЗ, т.е. как раз на этот сервер, который имеет выход в сеть интернет. Тот в свою очередь перенаправляет запрос на внешнюю сетевую кару, потом Интернет и уже нужную информацию обратным путем Интернет – Внешняя сетевая кара – Локальная сетевая карта – Компьютер пользователя.
В итоге, если мы просто оставим пустой строку с указанием ШЛЮЗА, то компьютеры в локальной сети не будут знать, через кого выходить в интернет, а значит будут изолированы от внешней среды. Однако смогут пользоваться локальными сетевыми ресурсами
Давайте проверим.
Заходим на клиентский компьютер \ Изменить сетевые настройки \ Если мы под обычным пользователем, не администратором, то для изменения настроек потребуется указать логин и пароль администратора. Это тоже важный момент, так как если пользователь будет администратором на своем компьютере, он сможет ввести адрес ШЛЮЗА и интернет у него появится.
Но, тут еще один нюанс, так как у меня поднят сервер DHCP, а он автоматически прописывает адрес ШЛЮЗА, то нам необходимо исключить из настроек те IP адреса, которые предназначены для компьютеров, без выхода в интернет. Иначе, он может назначить какой-нибудь машине такой же адрес и будет конфликт IP адресов. (Диспетчер серверов \ Средства \ DHCP \ Область \ ПКМ \ Свойства \ Смотрим какой вообще диапазон и можем его изменить \ Пул адресов \ ПКМ \ Диапазон исключения… \ Добавить 150-200)
При данной настройке у нас получится следующее, те кто выходит в интернет будут иметь адреса 100-150, остальные 150-200, но все настройки нам придется прописывать вручную.
Проверяем, включаем DHCP интернет есть, вбиваем вручную без ШЛЮЗА, интернета нет.
Настройка брандмауэра
В данном случае, мы создадим правило, запрещающее отправлять запросы по протоколам http и https, через которые пользователь получает данные из браузера (Этот компьютер \ Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила исходящего подключения \ ПКМ \ Создать правило \ Для порта \ Определенные удаленные порты \ 80, 8080, 443 \ Блокировать подключение \ Все профили \ Блокировка интернета \ Готово)
Проверить на Edge и iexplorer.
Данное правило можно раскидать по компьютерам через групповую политику, если у вас есть домен.
При таким методе, вы отключаете пользователя от возможности просматривать интернет страницы, но сохраняется возможность работать с почтовыми программами, так как они работают по другим протоколам.
А это довольно часто требуется, чтобы пользователи работали с почтой, но не могли ходить по разным сайтам.
Но, через данный запрет мы запрещаем пользоваться любыми интернет ресурсами по указанным протоколам. Так что, если у вас в сети поднят локальный веб-сервер, допустим для доступа к 1С через браузер, то работа с ним также будет запрещена.
Так что самый надежный и более гибкий способ, это использование прокси-сервера, там можно настроить куда более универсальные правила.
