- Как запретить доступ в интернет
- Настройка сетевого подключения
- Настройка брандмауэра
- Как отключить интернет другому компьютеру через роутер
- Доступ для перечня устройств
- Другие возможности ограничения доступа
- Замена пароля сети и роутера
- Правильный протокол шифрования
- Невидимая сеть
- Ограничение времени пользования интернетом
- Настройка блокировки на роутере
- TP-Link
- Настройка целей
- Настройка узлов
- Включение
- ZyXEL
- Регистрация в SkyDNS
- Настройка роутера
Как запретить доступ в интернет
На прошлом вебинаре задали вопрос «Как ограничить доступ к сети интернет для разных компьютеров»?.
Давайте попробуем решить данный вопрос
Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку
Лично я бы выбрал один из следующих способов:
— Настройка файла HOSTS – благодаря чему, мы можем указывать на какие сайты можно ходить, а на какие нет. Об этом я уже снимал видео.
— Используя прокси-сервер или файервол, который устанавливается на пути между интернетом и локальной сетью и в зависимости от настроек, выдает тем или иным пользователям и компьютерам доступ в интернет. Про подобную систему я так же рассказывал в видео по программе IDECO UTM, более подробно понять, как это работает вы, можете посмотрев данное видео.
— Настройка антивируса – как правило в современных корпоративных антивирусных решениях есть модуль, отвечающий за интернет контроль, настроив который мы можете так же ограничивать доступ к сайтам.
— Настройка сетевого подключения
— Настройка брандмауэра Windows
Вот как раз о последних двух, мы сейчас поговорим более подробно…
Настройка сетевого подключения
Если у вас интернет раздает сервер, то в сетевых настройках мы указываем IP адрес сервера, который раздает интернет. И указываем мы его в качестве шлюза.
Есть сервер с двумя сетевыми картами, одна смотрит в локальную сеть, вторая в сеть интернет. И все настроено так, что, если какой-то компьютер в локальной сети хочет выйти в сеть интернет, он отправляет свой запрос на ШЛЮЗ, т.е. как раз на этот сервер, который имеет выход в сеть интернет. Тот в свою очередь перенаправляет запрос на внешнюю сетевую кару, потом Интернет и уже нужную информацию обратным путем Интернет – Внешняя сетевая кара – Локальная сетевая карта – Компьютер пользователя.
В итоге, если мы просто оставим пустой строку с указанием ШЛЮЗА, то компьютеры в локальной сети не будут знать, через кого выходить в интернет, а значит будут изолированы от внешней среды. Однако смогут пользоваться локальными сетевыми ресурсами
Заходим на клиентский компьютер \ Изменить сетевые настройки \ Если мы под обычным пользователем, не администратором, то для изменения настроек потребуется указать логин и пароль администратора. Это тоже важный момент, так как если пользователь будет администратором на своем компьютере, он сможет ввести адрес ШЛЮЗА и интернет у него появится.
Но, тут еще один нюанс, так как у меня поднят сервер DHCP, а он автоматически прописывает адрес ШЛЮЗА, то нам необходимо исключить из настроек те IP адреса, которые предназначены для компьютеров, без выхода в интернет. Иначе, он может назначить какой-нибудь машине такой же адрес и будет конфликт IP адресов. (Диспетчер серверов \ Средства \ DHCP \ Область \ ПКМ \ Свойства \ Смотрим какой вообще диапазон и можем его изменить \ Пул адресов \ ПКМ \ Диапазон исключения… \ Добавить 150-200)
При данной настройке у нас получится следующее, те кто выходит в интернет будут иметь адреса 100-150, остальные 150-200, но все настройки нам придется прописывать вручную.
Проверяем, включаем DHCP интернет есть, вбиваем вручную без ШЛЮЗА, интернета нет.
Настройка брандмауэра
В данном случае, мы создадим правило, запрещающее отправлять запросы по протоколам http и https, через которые пользователь получает данные из браузера (Этот компьютер \ Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила исходящего подключения \ ПКМ \ Создать правило \ Для порта \ Определенные удаленные порты \ 80, 8080, 443 \ Блокировать подключение \ Все профили \ Блокировка интернета \ Готово)
Проверить на Edge и iexplorer.
Данное правило можно раскидать по компьютерам через групповую политику, если у вас есть домен.
При таким методе, вы отключаете пользователя от возможности просматривать интернет страницы, но сохраняется возможность работать с почтовыми программами, так как они работают по другим протоколам.
А это довольно часто требуется, чтобы пользователи работали с почтой, но не могли ходить по разным сайтам.
Но, через данный запрет мы запрещаем пользоваться любыми интернет ресурсами по указанным протоколам. Так что, если у вас в сети поднят локальный веб-сервер, допустим для доступа к 1С через браузер, то работа с ним также будет запрещена.
Так что самый надежный и более гибкий способ, это использование прокси-сервера, там можно настроить куда более универсальные правила.
Как отключить интернет другому компьютеру через роутер
Беспроводная связь Wifi стала настолько популярной, что наличие дома маршрутизатора — это правило, а не исключение. Несмотря на все защитные механизмы и шифрование, домашняя сеть видна не только ее владельцу. Если не соблюдать меры предосторожности, то к сети могут подключиться посторонние люди. Это влияет не только на скорость интернета, но и на безопасность конфиденциальных данных, которые могут попасть в руки злоумышленника для последующего шантажа и требования денег. Чтобы риск таких случаев был минимален, нужно ограничивать доступ к своей домашней сети Wifi. В этом материале содержатся подробные описания того, как ограничить доступ к интернету через роутер и как сделать ограничение интернета по времени, что для этого нужно знать.
Доступ для перечня устройств
Для того чтобы дать доступ конкретным устройствам, следует определить их MAC-адрес. Это такой идентификатор, который присваивается устройству еще на заводе. Узнать его можно несколькими способами: через «Просмотр активных сетей» в Windows 7, через параметры «Сети и Интернет» в Windows 10, а также через консольную команду «ipconfig /all», где он будет называться физическим адресом. Найти адрес в операционной системе Андроид можно так: Параметры — Беспроводные сети — WiFi — Дополнительные функции. Данные MAC будут расположены в соответствующей строке. Для продукции компании Apple порядок действий следующий: Настройки — Основные — Об этом устройстве — Адрес Wifi.
- Войти в веб-интерфейс настроек по IP-адресу 192.168.0.1 или 192.168.1.1 и авторизоваться с помощью логина и пароля, которые по умолчанию равны admin/admin или admin/12345. Если вход не удается, то следует найти информацию в инструкции к роутеру или на его коробке (задней крышке);
- Найти раздел настроек беспроводной сети и включить фильтрацию пользователей по MAC-адресу, так как по умолчанию она выключена;
- Перейти во вкладку «Фильтрация» и добавить адрес устройства, которому требуется предоставить доступ к сети;
- Сохранить все изменения и перезагрузить маршрутизатор.
Важно! Эти действия позволят предоставлять доступ к интернету только разрешенным устройствам. Посторонний человек, даже узнав пароль, не сможет подключиться к сети.
Другие возможности ограничения доступа
Существуют и другие, менее радикальные меры по ограничению доступа к беспроводной связи. Они предполагают замену стандартного или легкого пароля, выбор более надежных методов шифрования, создание невидимой сети. Стоит разобрать их конкретнее.
Замена пароля сети и роутера
Если пароль маршрутизатора не изменялся с момента его покупки и является стандартным, то нужно заменить его на более сложный. Желательно вообще менять коды доступа регулярно. Помимо этого, необходимо сменить заводские данные для входа в веб-настройки роутера. Делается это все в настройках безопасности любой модели от любого производителя.
Правильный протокол шифрования
По стандарту любое шифрование сети отключено, но его можно включить при создании нового SSID. Многие этим пренебрегают, а потом становятся жертвами хакерских атак или мошенничества и вымогательства. Для изменения методов шифрования следует в настройках роутера изменить протокол безопасности работы самого устройства и сети. Выбирать среди доступных вариантов лучше всего WPA2-PSK, так как он более надежный.
Невидимая сеть
Создание невидимой сети поможет ограничить ее от поиска другими устройствами. Для того чтобы сделать ее невидимой, нужно в настройках роутера и конкретной сети заменить ее стандартное имя на другое, а после того как нужные устройства будут подключены, запретить трансляцию SSID и к ней никто не получит доступ.
Ограничение времени пользования интернетом
Существует также ограничение по пользованию сетью Интернет по времени. Чаще всего на определенный срок или по графику ограничивают интернет для детей с помощью родительского контроля. Ограничение вводится, когда родителей нет дома, они ушли в гости или просто легли спать. Ребенок в таком случае остается без присмотра и может навредить себе негативным и деструктивным действием некоторых ресурсов. Наиболее популярными решениями в этой сфере являются NetPolice, ComputerTime, WindowsGuard, Salfeld Child Control.
Важно! Установить родительский контроль или простое ограничение интернета по времени можно с помощью стандартных веб-настроек маршрутизатора, если это предусмотрено производителем. Однако конфигурации там могут быть не сильно гибкие.
Настройка блокировки на роутере
В этом разделе подробно будет рассказано, как с помощью настроек самого маршрутизатора ограничивать интернет. Практически все действия идентичны и отличаются лишь некоторыми мелочами. Для примера были взяты роутеры самых популярных производителей: TP LINK, Asus и ZyXEL.
TP-Link
Так как это наиболее популярный производитель, у многих встает вопрос: как в роутере тп линк ограничить доступ устройств. В таких роутерах практически в каждой современной модели есть настройка «Контроль доступа». Она помогает запретить доступ к определенным ресурсам или разрешить посещение только некоторых сайтов.
Настройка целей
Чтобы настроить цель, требуется:
- Войти в общие настройки, найти «Контроль доступа» и войти в него;
- Далее открывается подпункт «Цель», в которой создается правило блокировки на кнопку «Создать»;
- В параметрах режима выбирается доменное имя, а в поле ниже вписывается описание правила. В нем можно написать все, что угодно. В поле «Доменное имя» необходимо вписать адрес ресурса, который требуется заблокировать.
Важно! Не обязательно прописывать адрес полностью. Достаточно написать vk и тогда не только социальная сеть Вконтакте, но и все сайты, содержащие в себе это название, будут заблокированы.
После этого следует определить устройства, для которых правила будут работать.
Настройка узлов
В процессе настройки выполняется ряд действий:
- Переход в раздел «Контроль доступа» и выбор другого подраздела — «Узел»;
- Нажатие кнопки «Добавить новую…»;
- Здесь можно указать адреса IP, если они статические, но лучше выбрать блокировку по MAC-адресу;
- Для этого выбирается соответствующий режим, придумывается любое описание и вводится MAC-адрес устройства для его блокировки.
Включение
После того как параметры блокировки будут настроены, ее необходимо активировать. Для этого нужно:
- Перейти в «Контроль доступа» и выбрать пункт «Правило»;
- Установить галочку напротив «Управление контролем доступа к Интернет»;
- Сохранить изменения;
- Прокрутить страницу вниз и нажать «Добавить новую…»;
- Дать правилу название и выбрать созданные ранее узлы и цели;
- Сохранить измерения и перезапустить роутер.
ZyXEL
На роутерах данной фирмы есть два инструмента, позволяющих ограничивать доступ к интернету и отдельным ресурсам. Это SkyDNS и Яндекс.DNS. Второй не поддерживает ручное составление списка и блокирует только вредоносные сайты из своей базы данных. Именно поэтому далее будет рассмотрен первый инструмент.
Регистрация в SkyDNS
Для регистрации требуется перейти в веб-интерфейс настроек роутера и перейти на вкладу Безопасности. Наверху можно выбрать «SkyDNS». Если пользователь еще не работал в нем, то сервис предложит произвести регистрацию. После окончания регистрации требуется вернуться в настройки маршрутизатора и произвести манипуляции там.
Настройка роутера
Возможности сервиса позволяют блокировать целые категории сайтов, например, соцсети. Для этого производится переход на вкладку «Фильтр» и устанавливаются птички напротив соответствующих категорий. Если требуется запретить лишь отдельные сайты, то необходимо перейти в «Домен» и найти там «Черный список», в который адреса и вписываются.
Производители роутеров Asus не позаботились о том, чтобы их клиенты могли управлять интернетом и ограничивать доступ к сайтам. В прошивке имеется категория «Родительский контроль», но она не может решить проблему в полной мере. С ее помощью блокируется доступ на время для определенных устройств.
В статье был разобран вопрос о том, как ограничить по времени доступ к интернету через роутер и дистанционно закрыть сеть от доступа со стороны. Аналогичным образом настраиваются и другие роутеры по типу D Link, Tenda и др. Закрывать доступ в интернет важно не только любопытным детям, но от несанкционированного входа посторонних лиц, которые могут нанести вред сети.