我在网络上运行 Windows XP 计算机,用于旧硬件和软件。我希望允许 XP 计算机访问 LAN 上的所有计算机,但阻止它访问互联网。
做这个的最好方式是什么?
答案1
正如你所要求的最好的方式:
- 如果使用 DHCP 分配 IP,请配置您的 DHCP 服务器以“保留”(即使其成为永久)该机器的 IP。
- 配置连接到互联网的路由器,禁止此特定 IP 从 LAN 访问 WAN(互联网)。这将有效阻止该主机访问互联网,使其无法完全连接到互联网。
如果您不信任此机器或其具有管理员权限的用户,这是唯一“好”的方法。这里建议的其他方法,例如删除默认网关(路由)也可以。但它可以被对该机器具有管理员访问权限的人或甚至在该主机上运行的某些恶意软件“恢复”。
答案2
您可以通过几种方式来实现此目的,具体取决于您的设置和路由器。
您可以在网关/路由器上通过阻止 XP 计算机的 IP 地址(假设它是静态的)甚至 MAC 地址来执行此操作。具体来说,您将阻止来自 XP 计算机的出站流量。
您还可以在 XP 机器上创建状态路由,强制任何互联网绑定流量流向无处可去或流向错误的网关。
最后,您可以将 XP 计算机放在另一个路由器后面,并将其放在不同的子网中。这样,您就绝对可以控制第二个路由器,然后可以只将 LAN 流量路由到另一个子网,并阻止所有其他流量。