我知道有人问过类似的问题,但我的问题有点不同。我是 IT 管理新手,但我的主管给了我一项任务:我必须禁用域中一台工作站上的 Web 浏览功能,但我必须这样做,以便放置在特殊 IP 地址和端口上的某个 Web 服务可用。这应该在本地完成,因为更改公司防火墙中的任何内容都是不可能的,而更改 AD 策略是最后手段。删除默认网关不是一种选择,因为它会禁用所有连接。工作站通过 DHCP 连接,必须保持这种状态。我尝试通过 netsh 命令向 PC 防火墙添加规则,但没有改变任何东西。将所有禁止的网站添加到 hosts 文件太耗时了。这台电脑运行的是 64 位 Win7 pro。
总结
用户不应该能够浏览互联网,但他们必须能够访问位于 IP:specific_port 上的服务。
答案1
让 192.168.0.1 成为您的网关,让 1.2.3.4 成为白名单主机,为 1.2.3.4 定义一条使用 192.168.0.1 的静态路由,并将 192.168.0.253 定义为默认路由器(其中 192.168.0.253 要么不存在,要么是一台不进行 IP 转发的普通主机)。这不会将用户锁定到单个端口,但(希望)它会阻止他们访问任何其他服务器。
答案2
感谢您的所有回答和建议。在我的实验中,事实证明必须找到全局解决方案(由于其他工作站访问互联网),所以我的问题不再相关。G-Man 的解决方案很接近,但就像我提到的那样 - 现在我必须为生产站点设置全局封锁。它将使用充当路由器/网关的 Linux 虚拟机来完成。