Internet sperren - aber Intranet zulassen
Rechner im Firmennetzwerk - Benutzer sollen nicht mehr surfen
Hallo, ich habe einen Rechner im Firnemnetz, wo der Internetzugang gesperrt werden soll.
Betriebssystem: Windows 2000
Domäne: NT 4.0
IP-Adresse, Standardgateway und DNS-Server über DHCP
Kein Proxy
Der Haken: Der Intranetzugriff soll weiterhin funktionieren.
Hat jemand einen Tipp, wie ich das bewerkstelligen kann (z.B. über lokale Richtlinien o.ä)?
Danke
blueIce1970
Hallo, ich habe einen Rechner im Firnemnetz, wo der Internetzugang gesperrt werden soll.
Betriebssystem: Windows 2000
Domäne: NT 4.0
IP-Adresse, Standardgateway und DNS-Server über DHCP
Kein Proxy
Der Haken: Der Intranetzugriff soll weiterhin funktionieren.
Hat jemand einen Tipp, wie ich das bewerkstelligen kann (z.B. über lokale Richtlinien o.ä)?
Danke
blueIce1970
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 47766
Url: https://administrator.de/forum/internet-sperren-aber-intranet-zulassen-47766.html
Ausgedruckt am: 13.06.2025 um 10:06 Uhr
19 Kommentare
Neuester Kommentar
Das Standard-GW aus den DHCP-Einträgen entfernen?
geTuemII
geTuemII
geturm war schneller...
Watt fürn Turm? 
geTuemII
geTuemII
Daran habe ich auch schon gedacht. Habe vergessen zu erwähnen, dass wir eine WAN Anbindung mit Citrix habe. Diese würde dann nicht mehr funktionieren.
Ja, diese Info hätte es gebracht....
Server als GW setzen, Staic Route für Citrix, Rest ins Leere laufen lassen.
geTuemII
Server als GW setzen, Staic Route für Citrix, Rest ins Leere laufen lassen.
geTuemII
Sorry für meine Begriffsstutzigkeit. Welchen Server?
blueIce1970
blueIce1970
Hi,
was ist bei euch der Gateway? Router oder Server.
Gruß
Dani
was ist bei euch der Gateway? Router oder Server.
Gruß
Dani
Hallo,
Hab auch noch einen:
- Port 80 und 443 nach draußen auf dem Router sperren
- DNS forwarding deaktivieren, sodass die Internetseiten nicht mehr aufgelöst werden.
- Für den Internetzugriff einfach einen kleinen Proxy dazwischen klemmen, der User/Pass abfragt
Ralf
Hab auch noch einen:
- Port 80 und 443 nach draußen auf dem Router sperren
- DNS forwarding deaktivieren, sodass die Internetseiten nicht mehr aufgelöst werden.
- Für den Internetzugriff einfach einen kleinen Proxy dazwischen klemmen, der User/Pass abfragt
Ralf
Er hat doch nur 1nen Rechner den er Blocken will!!
Er hat doch nur 1nen Rechner den er Blocken will!!
Er hat doch nur 1nen Rechner den er Blocken will!!
sorry!!
freudscher versprecher ...
natürlich ungetuem ähh getuemII
freudscher versprecher ...
natürlich ungetuem ähh getuemII
und den 3 mal ???
sorry,
aber mit ist das Nb aus der Hand gefallen
Gruß
RKO
aber mit ist das Nb aus der Hand gefallen
Gruß
RKO
Wenn "geTuemII"s Trick nicht greift....
Accessliste auf dem Router und alles blocken außer den Ports für die Citrix Anwendung....
Accessliste auf dem Router und alles blocken außer den Ports für die Citrix Anwendung....
Sicher, oben in der Unter-Überschrift (welch schönes Wort) steht was von Benutzern... Ok, die könnten auch dieselbe Kiste nutzen, aber hier wäre mal wieder eine weiterführende Erläterung der Umgebung angebracht. BlueIce, erkläre mal!
geTuemII
geTuemII
Guten Morgen,
man merkt, dass man bei der Erklärung an alles denken will und doch die Hälfte zu sagen vergisst.
Also es sind alle Nutzer an einer Kiste, die geblockt werden sollen. Von diesem PC soll niemand ins Internet, aber Intranet und WAN-Zugriff sollen möglich sein. Von den anderen PCs sollen alle ins Netz können.
Habe überlegt, eine feste IP zu vergeben, mit Standartd-GW (Router), aber ohne DNS. Dann können Sie zwar surfen, wenn sie die IPs eingeben, aber die Namen werden nicht aufgelöst. Ist eine Lösung, da kommen die Normaluser nicht dahinter. Aber das gefällt mir aber nicht so gut, da ich immer im Hinterkopf haben muss, dass da eine statische IP ist. Solche Dinge will ich so viel wie möglich vermeiden. Lieber wäre mir eine Lösung, dass ich bestimmte (private) IP-Bereiche zulasse, aber die öffentlichen IPs an dem einen Rechner blocke. Aber ich wüsste nicht, wie.
Wir werden in Kürze unsere Domäne ins Active Directory migrieren. Kennt jemand eine GPO, mit der sich das realisieren liesse?
Danke schonmal für die vielen Antworten.
blueIce1970
man merkt, dass man bei der Erklärung an alles denken will und doch die Hälfte zu sagen vergisst.
Also es sind alle Nutzer an einer Kiste, die geblockt werden sollen. Von diesem PC soll niemand ins Internet, aber Intranet und WAN-Zugriff sollen möglich sein. Von den anderen PCs sollen alle ins Netz können.
Habe überlegt, eine feste IP zu vergeben, mit Standartd-GW (Router), aber ohne DNS. Dann können Sie zwar surfen, wenn sie die IPs eingeben, aber die Namen werden nicht aufgelöst. Ist eine Lösung, da kommen die Normaluser nicht dahinter. Aber das gefällt mir aber nicht so gut, da ich immer im Hinterkopf haben muss, dass da eine statische IP ist. Solche Dinge will ich so viel wie möglich vermeiden. Lieber wäre mir eine Lösung, dass ich bestimmte (private) IP-Bereiche zulasse, aber die öffentlichen IPs an dem einen Rechner blocke. Aber ich wüsste nicht, wie.
Wir werden in Kürze unsere Domäne ins Active Directory migrieren. Kennt jemand eine GPO, mit der sich das realisieren liesse?
Danke schonmal für die vielen Antworten.
blueIce1970
Guten Morgen,
man merkt, dass man bei der Erklärung
an alles denken will und doch die Hälfte
zu sagen vergisst.
Also es sind alle Nutzer an einer
Kiste, die geblockt werden sollen. Von diesem
PC soll niemand ins Internet, aber Intranet
und WAN-Zugriff sollen möglich sein. Von
den anderen PCs sollen alle ins Netz
können.
man merkt, dass man bei der Erklärung
an alles denken will und doch die Hälfte
zu sagen vergisst.
Also es sind alle Nutzer an einer
Kiste, die geblockt werden sollen. Von diesem
PC soll niemand ins Internet, aber Intranet
und WAN-Zugriff sollen möglich sein. Von
den anderen PCs sollen alle ins Netz
können.
Was denn nu ?
Sollen Sie Internet haben oder nicht ?
Internet und WAN sind in diesem Falle ja wohl dasselbe!
Ansonsten wäre zu überlegen ob der Router über eine ACL den betreffenden
PC einfach aussperren kann, kommt aber auf deinen Router an.
Alternativ könnte einfach auch die MAC Adresse gesperrt werden.
@brammer:
Hallo BlueIce,
mit Server meine ich deinen DomainController. Wenn der Gateway ist, kannst du in Routing und RAS die beschriebene Statische Route setzen. Dann definierst du für den entsprechenden Client im DHCP eine Reservierung, damit der den Server als Gateway nutzt. Im Prinzip kannst du auch in der Reservierung die Statische Route definieren und das Gateway entsprechend setzen.
Du könntest auch eine Reservierung machen, in der die DNS-Einträge fehlen, das halte ich für die restliche Kommunikation aber eher für suboptimal.
Alle diese Vorschläge aber nur, wenn dein Router selbst die oben gemachten Lösungen der anderen nicht unterstützt, die sind sauberer.
geTuemII
Internet und WAN sind in diesem Falle ja wohl dasselbe!
Mitneffen, brammer: Unter Internet versteht BlueIce offenbar selbiges, bloß mit WAN meint er die Citrix-Verbindung. ;)Hallo BlueIce,
mit Server meine ich deinen DomainController. Wenn der Gateway ist, kannst du in Routing und RAS die beschriebene Statische Route setzen. Dann definierst du für den entsprechenden Client im DHCP eine Reservierung, damit der den Server als Gateway nutzt. Im Prinzip kannst du auch in der Reservierung die Statische Route definieren und das Gateway entsprechend setzen.
Du könntest auch eine Reservierung machen, in der die DNS-Einträge fehlen, das halte ich für die restliche Kommunikation aber eher für suboptimal.
Alle diese Vorschläge aber nur, wenn dein Router selbst die oben gemachten Lösungen der anderen nicht unterstützt, die sind sauberer.
geTuemII
