autoriser l'accès au réseau local tout en bloquant l'accès à l'internet

Bloquer la passerelle par défaut dans le pare-feu

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

est une bonne méthode car

• par rapport au changement de l'adresse de passerelle par défaut
• à une adresse invalide netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 il ne faut pas désactiver le DHCP
• l'adresse DNS à une adresse invalide netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no l'accès sans utiliser le DNS (par exemple http://74.125.224.72) est aussi bloqué
• par rapport à route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 le réglage est sauvegardé

Je pense que la façon la plus simple de procéder est de définir une mauvaise passerelle par défaut.

J'ai essayé la solution proposée par @MaciekSawicki, mais je n'ai pas réussi à la faire fonctionner. Lorsque j'ai réglé la passerelle par défaut sur quelque chose d'invalide, elle ne pouvait pas du tout se connecter au réseau - même à l'intranet local.

Au lieu de cela, j'ai accompli cela en laissant la connexion sur DHCP (ou configuration manuelle valide) et en réglant le DNS manuellement. Le premier serveur DNS, je l'ai réglé sur une adresse IP invalide (192.0.0.0) et j'ai laissé le second vide, de sorte qu'aucun domaine ne pourra être résolu sur une adresse IP. Cela signifie que tout ce qui utilise explicitement l'IP au lieu d'un nom de domaine fonctionnera, mais que tous les noms échoueront. Cela rend la tâche assez inutile pour les utilisateurs finaux qui essaient de vérifier leur facebook. Si vous souhaitez ajouter une liste de domaines autorisés que les utilisateurs peuvent résoudre, vous pouvez les placer dans un fichier hosts . Veillez simplement à le tenir à jour si les adresses IP changent.

Je pense aussi que changer la route par défaut dans votre routeur devrait faire l'affaire. Toutefois, cela n'empêchera pas le routeur de router, si l'on pointe vers lui. La modification de la route par défaut telle que publiée par le serveur DHCP ne fera que supprimer la route par défaut des ordinateurs clients. Toute personne qui ajoute la route manuellement récupère alors l'accès à l'internet. Et supprimer la route par défaut POUR LE ROUTEUR EN LUI-MÊME n'est peut-être pas une bonne idée, car cela prive tout le monde de l'accès à l'internet.

Une autre solution pourrait être le routage basé sur l'IP source. Vous pourriez bloquer l'accès à l'internet aux adresses IP sous x.x.x.128, en autorisant les autres. Si vous disposez d'un routeur basé sur Linux, de telles règles pourraient facilement être programmées. Avec un routeur tel que ceux que vous achetez au magasin, cela peut représenter un plus grand défi.

De nombreux routeurs peuvent également avoir des autorisations d'accès qui peuvent être basées sur la plage d'IP. Vérifiez la configuration de votre propre routeur. Ou bien passez à Linux !

Le moyen le plus simple de le faire (mais que n'importe quel technicien pourrait contourner) est simplement d'aller dans les propriétés Internet et de changer le proxy en quelque chose d'inexistant.

A part cela, si vous n'avez pas d'intranet, vous pouvez regarder dans le Pare-feu Windows (si c'est Vista +, pas sûr que XP le supporte) et bloquer le port 80 sortant.

Ces deux méthodes peuvent être contrées si la machine n'est pas verrouillée.

Personnellement, s'il n'y a pas de raison pour que les utilisateurs soient sur cette machine en dehors de leurs programmes, il suffit de la verrouiller complètement par le biais d'une politique de groupe.

Je pense que vous pourriez le faire au niveau du routeur (en fonction de votre QOS) et mettre en place une règle pour BLOCKER tout le trafic (sortant du LAN) pour cette IP de serveur/ordinateur spécifique.

De cette façon, le serveur peut fonctionner parfaitement en interne, mais le routeur bloquera / refusera tout accès en externe.