permitir el acceso a la red local mientras se bloquea el acceso a Internet

Bloquear la puerta de enlace por defecto en el cortafuegos

netsh advfirewall firewall add rule name="Block default gateway" dir=out action=block remoteip=192.168.0.1

es un buen método porque

• comparado con cambiar la dirección de la puerta de enlace por defecto a una dirección no válida netsh interface ip set address name="Local Area Connection" static 192.168.0.2 255.255.0.0 0.0.0.0 no requiere deshabilitar el DHCP
• dirección DNS a una dirección no válida netsh interface ip set dns "Local Area Connection" static 127.0.0.1 validate=no el acceso sin usar DNS (por ejemplo http://74.125.224.72) se bloquea también
• comparado con route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1 la configuración se guarda

Creo que la forma más sencilla de hacer esto es establecer una puerta de enlace predeterminada incorrecta.

He probado la solución que propone @MaciekSawicki, pero no he conseguido que funcione. Cuando establecí la puerta de enlace predeterminada a algo inválido, fue incapaz de conectarse a la red en absoluto - incluso la intranet local.

En cambio, lo conseguí dejando la conexión en DHCP (o configuración manual válida) y configurando el DNS manualmente. El primer servidor DNS, lo configuré con una dirección IP inválida (192.0.0.0) y dejé el segundo en blanco, por lo que ningún dominio podrá ser resuelto a una dirección IP. Esto significa que cualquier cosa que use explícitamente la IP en lugar de un nombre de dominio funcionará, pero todos los nombres fallarán. Esto hace que sea bastante inútil para los usuarios finales que intentan comprobar su facebook. Si quieres añadir una lista de dominios permitidos que los usuarios puedan resolver, puedes ponerlos en un archivo hosts . Sólo asegúrate de mantenerlo actualizado si las direcciones IP cambian.

También creo que cambiar la ruta por defecto en tu router debería funcionar. Sin embargo, esto no detendrá el enrutamiento del router, si uno apunta a él. Cambiar la ruta por defecto publicada por el servidor DHCP sólo eliminará la ruta por defecto de los ordenadores cliente. Cualquiera que añada la ruta manualmente volverá a tener acceso a Internet. Y eliminar la ruta por defecto PARA EL PROPIO ROUTER podría no ser una buena idea, ya que niega el acceso a Internet a todo el mundo.

Otra solución podría ser el enrutamiento basado en la IP de origen. Podrías bloquear el acceso a internet a las direcciones IP por debajo de x.x.x.128, permitiendo otras. Si tienes un router basado en Linux, estas reglas podrían programarse fácilmente. Con un router como los que se compran en la tienda, esto puede ser un reto mayor.

Muchos routers también pueden tener permisos de acceso que pueden estar basados en el rango de IP. Comprueba la configuración de tu propio router. O simplemente, ¡hazte de Linux!

La forma más fácil de hacer esto, con mucho (pero cualquier técnico podría pasar por alto) es simplemente ir a las propiedades de Internet y cambiar el proxy a algo inexistente.

Aparte de esto, si no tienes intranet, podrías mirar el Firewall de Windows (si es Vista +, no estoy seguro de que XP lo soporte) y bloquear el puerto 80 saliente.

Ambos métodos pueden ser contrarrestados si la máquina no está bloqueada.

Personalmente, si no hay ninguna razón para que los usuarios estén en esto aparte de los programas, simplemente bloquearlo completamente a través de la política de grupo.

Creo que puedes hacer esto a nivel de router (dependiendo de tu QOS) y poner una regla para BLOQUEAR todo el tráfico (fuera de la LAN) para ese servidor/ordenador IP específico.

De esta manera el servidor puede funcionar bien internamente pero el router dejará caer / denegará todo el acceso externamente.