Задать вопрос
@Joobl

Как заблокировать сайты в локальной сети по белому списку?

Имеется 12 компьютеров в школе программирования, на каждом установлена windows 11 pro, litemanager для удалённого управления, рабочая группа.

Хотел когда-то настроить active directory, но узнал что для этого постоянно должен быть включён контроллер домена, и заново настраивать каждую учётную запись.

Сейчас главная цель ограничить компьютеры к интернету, кроме некоторых сайтов.

Вопрос заключается в том что, есть ли какая-нибудь программа по типу firewall с удалённым доступ и белым списком сайтов. Чтобы я установил её на каждый компьютер и мог удалённо на своём постоянно пополнять список разрешённых ресурсов. Решение с GPO и Active Directory в моём случае не подходит. Родительский контроль встроенный в windows 11 тоже, настройка родительского контроля на роутере тоже (там слишком ограниченно).
  • Вопрос задан
  • 757 просмотров
Подписаться 2 Средний 1 комментарий
Решения вопроса 1
@Refguser
Решения для бизнеса: от создания ИМ до...
Вопрос заключается в том что, есть ли какая нибудь программма по типу firewall с удалённым доступ и белым списком сайтов. Чтобы я установил её на каждый компьютер и мог удалённо на своём постоянно пополнять список разрешённых ресурсов.


Я так полагаю сеть ондноранговая с роутером в той же подсети.

Не нужно что-то устанавливать на каждый ПК. Достаточно установить программу прокси-сервера (например HandyCache) на "главный ПК" (сервер), а на роутере разрешить доступ только ему.
На рабочих ПК соответственно настроить доступ через прокси.
Управление доступом и разрешениями ( в тч. и белым списком) происходит на прокси-сервере.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
@Drno
Обычно это делается на шлюзе либо промежуточно прокси-сервере.
Наверно пакеты фаерволов \ антивирусов от касперского \ dr Web умеют это делать. но предполагаю что там понадобится какой то центральный сервер, чтобы этим удаленно управлять

Вообще это реализовано на роутерах кинетик насколько я помню, там можно запретить доступ в инет и разрешить только до поределенных адресов \ доменов
Ответ написан
Комментировать
kavermoki
@kavermoki
junior
если все ПК в локальной сети, можно удаленно через cmd или psexec редактировать файл «hosts».
Например:
127.0.0.1 ya.ru

и в целом, таким образом можно написать сценарий, разослать его на все пк и выполнить его удаленным запуском.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Обычно для ограничения ресурсов используют прокси. Но Вы хотите странного - AD как раз и нужен для управления всем доменом целиком. Можно, конечно прокси поставить на линух и все пустить через него - но тут вопрос - а юзера с правами локального админа или без?
Ответ написан
@rPman
Можно отключить в настройках машин default route или прописать неправильный (это можно сделать настройками роутера, если он это позволяет, так как обычно роутер автоматически себя раздает как default route по dhcp), это можно сделать и вручную или скриптом, используя route, что то типа
route delete 0.0.0.0 mask 0.0.0.0 ip_адрес_шлюза
route add 0.0.0.0 mask 0.0.0.0 ip_адрес_шлюза
но удаление не сохраняется в реестре, т.е. делать это скриптом при старте.. проще изменить роутер на неправильный, настроив ip адрес статическим (да знаю криво, но в win10 мне кажется уже нельзя, в win7 я помню скриптами это делал без проблем при включенном dhcp)

Неправильный шлюз отключит интернет на машине, при использовании dns сервера от роутера, доменные имена продолжат разименовываться в ip. В крайнем случае можно добавить dns сервера в белый список.

а затем накидать ip адреса из белого списка, прописав для них правильный шлюз
route /p add ip_адрес_сайта_в_интернете mask 255.255.255.255 ip_адрес_правильного_шлюза

можно вместо маски указать другую, чтобы добавить в белый список целую подсеть.
вместо ip адреса сайта можно использовать его доменное имя, оно будет разименовано в ip адрес в момент выполнения команды.
ключ /p позволяет выполнить эту команду однократно, она будет сохранена в реестре (это работает только для route add) но лучше запускать этот скрипт при включении компьютера без использования /p и обновлять его централизованно или даже хранить где то в сети

Но помним, что крупные сайты могут иметь гуляющий ip адрес для баллансировки нагрузки на уровне dns, в общем создавать белый список нужно тщательно
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы