Как заблокировать сайты в локальной сети по белому списку?

Question

[Joobl]

Имеется 12 компьютеров в школе программирования, на каждом установлена windows 11 pro, litemanager для удалённого управления, рабочая группа.

Хотел когда-то настроить active directory, но узнал что для этого постоянно должен быть включён контроллер домена, и заново настраивать каждую учётную запись.

Сейчас главная цель ограничить компьютеры к интернету, кроме некоторых сайтов.

Вопрос заключается в том что, есть ли какая-нибудь программа по типу firewall с удалённым доступ и белым списком сайтов. Чтобы я установил её на каждый компьютер и мог удалённо на своём постоянно пополнять список разрешённых ресурсов. Решение с GPO и Active Directory в моём случае не подходит. Родительский контроль встроенный в windows 11 тоже, настройка родительского контроля на роутере тоже (там слишком ограниченно).

Comments

[Joobl]

Решил свою задачу с помощью замены Litemanager на NetSupport school

Answer 1

[Refguser]

Вопрос заключается в том что, есть ли какая нибудь программма по типу firewall с удалённым доступ и белым списком сайтов. Чтобы я установил её на каждый компьютер и мог удалённо на своём постоянно пополнять список разрешённых ресурсов.

Я так полагаю сеть ондноранговая с роутером в той же подсети.

Не нужно что-то устанавливать на каждый ПК. Достаточно установить программу прокси-сервера (например HandyCache) на "главный ПК" (сервер), а на роутере разрешить доступ только ему.
На рабочих ПК соответственно настроить доступ через прокси.
Управление доступом и разрешениями ( в тч. и белым списком) происходит на прокси-сервере.

Comments

[Joobl]

Я так полагаю сеть ондноранговая с роутером в той же подсети.

Правильно

Ну хорошо, звучит неплохо. Настрою я прокси на своём ПК, а что делать делать на конечном ПК? Я так понимаю, где-то в настройках сети Windows указать?

[Refguser]

Joobl, в браузере в настройках сети.

[Joobl]

Refguser, мне нужно на уровне сети

[Refguser]

Joobl, на уровне сети, в настройках роутера ты заблокируешь всех, кроме одного с проксёй. Все остальные будут ходить через него.
Почитай уже что ли как это работает.

Answer 2

[Drno]

Обычно это делается на шлюзе либо промежуточно прокси-сервере.
Наверно пакеты фаерволов \ антивирусов от касперского \ dr Web умеют это делать. но предполагаю что там понадобится какой то центральный сервер, чтобы этим удаленно управлять

Вообще это реализовано на роутерах кинетик насколько я помню, там можно запретить доступ в инет и разрешить только до поределенных адресов \ доменов

Answer 3

[Igor Ger]

если все ПК в локальной сети, можно удаленно через cmd или psexec редактировать файл «hosts».
Например:
127.0.0.1 ya.ru

и в целом, таким образом можно написать сценарий, разослать его на все пк и выполнить его удаленным запуском.

Comments

[d-stream]

То есть в случае белого списка - прописать в hosts все домены кроме десятка разрешённых? )

[Igor Ger]

d-stream, ну как правило же разрешить все, кроме... все что в списке под 127.0.0.1 - будет запрещено, все остальное белый список.

[d-stream]

Igor Ger, ну и как должен выглядет hosts если белый список состоит из двух ресурсов: yandex.ru и mail.ru ?)))

[Igor Ger]

d-stream, не так понял вопрос автора сначала, Думал запретить к нескольким сайтам.... А так да, реализация белого списка абсолютна невозможна на hosts, извиняюсь.

Answer 4

[CityCat4]

Обычно для ограничения ресурсов используют прокси. Но Вы хотите странного - AD как раз и нужен для управления всем доменом целиком. Можно, конечно прокси поставить на линух и все пустить через него - но тут вопрос - а юзера с правами локального админа или без?

Comments

[Joobl]

Я хотел организовать в школе домен, но неудобно оставлять компьютер всегда включённым, да ещё и объяснять детям, как заходить в учётную запись... Linux не использую. Конечный пользователь без админ. прав.

[Refguser]

Проксю можно и на винду поставить. Для задач ТСа этого будет достаточно.

[CityCat4]

Refguser, Можно, конечно, если там все нормально с авторскими правами. Мы же ломать в школу не посоветуем :)

[Refguser]

CityCat4, есть и бесплатные. А кроме того по-моему большинство софтин уже приказало долго жить. Что не отменяет их нормальную работу (разве что насчёт win11 могут быть вопросы) без обязательной оплаты.
Но мы конечно же не посоветуем лишить их триала :)))

Answer 5

[rPman]

Можно отключить в настройках машин default route или прописать неправильный (это можно сделать настройками роутера, если он это позволяет, так как обычно роутер автоматически себя раздает как default route по dhcp), это можно сделать и вручную или скриптом, используя route, что то типа

route delete 0.0.0.0 mask 0.0.0.0 ip_адрес_шлюза
route add 0.0.0.0 mask 0.0.0.0 ip_адрес_шлюза

но удаление не сохраняется в реестре, т.е. делать это скриптом при старте.. проще изменить роутер на неправильный, настроив ip адрес статическим (да знаю криво, но в win10 мне кажется уже нельзя, в win7 я помню скриптами это делал без проблем при включенном dhcp)

Неправильный шлюз отключит интернет на машине, при использовании dns сервера от роутера, доменные имена продолжат разименовываться в ip. В крайнем случае можно добавить dns сервера в белый список.

а затем накидать ip адреса из белого списка, прописав для них правильный шлюз

route /p add ip_адрес_сайта_в_интернете mask 255.255.255.255 ip_адрес_правильного_шлюза

можно вместо маски указать другую, чтобы добавить в белый список целую подсеть.
вместо ip адреса сайта можно использовать его доменное имя, оно будет разименовано в ip адрес в момент выполнения команды.
ключ /p позволяет выполнить эту команду однократно, она будет сохранена в реестре (это работает только для route add) но лучше запускать этот скрипт при включении компьютера без использования /p и обновлять его централизованно или даже хранить где то в сети

Но помним, что крупные сайты могут иметь гуляющий ip адрес для баллансировки нагрузки на уровне dns, в общем создавать белый список нужно тщательно