Windows Local RDP Açıp İnternet Kısıtlama
-
Selam,
Bir windows 10 pc var. Bun içindeki bir takım yazılımlardan ötürü internete çıkmaması gerekiyor.
Local ağ üzerinden (internet erişimi yok) bir kaç bilgisayar buna RDP ile bağlanıp işini görüyor. Birden fazla kullanıcı ve multi RDP aktif yani aynı anda bağlanıp yazılımları kullanabiliyorlar.
Ana ekran ise bende. Ben de ıvır zıvır işler için arada bir usb ile telefonu bağlayıp tether/hotspot yapayım internete çıkayım diyorum.
Netlimiter yükleyip tüm internet erişimini kısıtlayıp "önce bana sor" seçeneği ile mesela sadece web tarayıcısına, mail istemcisine falan izin vermeyi düşünüyorum.
Ancak bu netlimiter muhtemelen sadece benim kullanıcıyı kısıtlayacak. RDP ile bağlanınca diğer hesaplar internete kısıtlamasız çıkabiliyor olacak.
Bunun önüne nasıl geçerim?
Fikir ve beyin fırtınası önerilerinize açığım...
Selam ve dua ile (F)
-
netlimiterı her kullanıcıya kur
-
yolbulucu bunu yazdı
netlimiterı her kullanıcıya kur
yanlışlıkla izin verirseler gg
daha garantici bir çözüme ihtiyacım var
-
noname bunu yazdıyolbulucu bunu yazdı
netlimiterı her kullanıcıya kur
yanlışlıkla izin verirseler gg
daha garantici bir çözüme ihtiyacım var
baska bir makine kullansan ya hocam?
alternatif olarak internete cikmamasi gereken programlarin hostlarini/ip adreslerini banlayabilirsin belki.
end tarafından 01/Kas/22 17:02 tarihinde düzenlenmiştir -
end bunu yazdınoname bunu yazdıyolbulucu bunu yazdı
netlimiterı her kullanıcıya kur
yanlışlıkla izin verirseler gg
daha garantici bir çözüme ihtiyacım var
baska bir makine kullansan ya hocam?
:D tembel adam çözümü yapmak istemiyorum
birincisi makina çok güçlü, mahrum kalmak istemem
yerine koyacak başka makina yok elimde
editine edit :
tek tek bulup hosttan engellemek riskli olur muhakkak arada kaçan olur, komple internet çıkışını kapatayım misal sadece opera.exe ye müsaade vermiş olayım,
veya bir sanal pc kurayım sadece virtual internete çıkabilsin gibi
noname tarafından 01/Kas/22 17:03 tarihinde düzenlenmiştir -
noname bunu yazdıend bunu yazdınoname bunu yazdıyolbulucu bunu yazdı
netlimiterı her kullanıcıya kur
yanlışlıkla izin verirseler gg
daha garantici bir çözüme ihtiyacım var
baska bir makine kullansan ya hocam?
:D tembel adam çözümü yapmak istemiyorum
birincisi makina çok güçlü, mahrum kalmak istemem
yerine koyacak başka makina yok elimde
editine edit :
tek tek bulup hosttan engellemek riskli olur muhakkak arada kaçan olur, komple internet çıkışını kapatayım misal sadece opera.exe ye müsaade vermiş olayım,
veya bir sanal pc kurayım sadece virtual internete çıkabilsin gibi
konuna yazmıştım bu işin kesin çözümü donanımsal engellemek. Networkte fiziksel firewall arkasına koyup iç ağ serbest bırakıp net çıkışını engelleyeceksin. Fiziki firewall yok ise (networkte çok fazla makina olmadığını varsayarak ki fazla makina var ve fiziki firewall yoksa durum daha ciddi :)) bitane makina çift gigabit ethernet pfsense yada opnsense tarzı bir yazılımı kurup network tarafını bu makinaya devredip onun üzerinden engelleyebilirsin.
-
trooper bunu yazdınoname bunu yazdıend bunu yazdınoname bunu yazdıyolbulucu bunu yazdı
netlimiterı her kullanıcıya kur
yanlışlıkla izin verirseler gg
daha garantici bir çözüme ihtiyacım var
baska bir makine kullansan ya hocam?
:D tembel adam çözümü yapmak istemiyorum
birincisi makina çok güçlü, mahrum kalmak istemem
yerine koyacak başka makina yok elimde
editine edit :
tek tek bulup hosttan engellemek riskli olur muhakkak arada kaçan olur, komple internet çıkışını kapatayım misal sadece opera.exe ye müsaade vermiş olayım,
veya bir sanal pc kurayım sadece virtual internete çıkabilsin gibi
konuna yazmıştım bu işin kesin çözümü donanımsal engellemek. Networkte fiziksel firewall arkasına koyup iç ağ serbest bırakıp net çıkışını engelleyeceksin. Fiziki firewall yok ise (networkte çok fazla makina olmadığını varsayarak ki fazla makina var ve fiziki firewall yoksa durum daha ciddi :)) bitane makina çift gigabit ethernet pfsense yada opnsense tarzı bir yazılımı kurup network tarafını bu makinaya devredip onun üzerinden engelleyebilirsin.
fazla makina yok, dediğin şekilde mantıklı aslında ama bütün internet erişimini engellemiş olacağız
benim kafamdaki biraz daha fantastik bir olay,
windowsta 5 kullanıcı var, bunların 4ü hiç bir şekilde internete çıkamasın, sadece localde kalsınlar (ethernet kartı üzerinden)
son kullanıcının da sadece opera.exe'si internete çıkabilsin :D
-
Bunun için ekstra birşey yapmana gerek yok. Bu pc'nin ip adreslerini manuel/statik tanımla.
Örnek bir DHCP'de ip alan makina için durum şöyle;IPv4 Address. . . . . . . . . . . : 192.168.1.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1 (adsl modem, default route)Sen ip statik tanımlayarak; default Gateway adresini alakasız, olmayan bir adres ver, dnsleri boş bırak veya atmasyon ip gir. mesela; 192.168.1.254 gibi.
default route olmayacağı için nete çıkamaz ama aynı ağ içindekiler pc bağlanır.(arp-mac)-------------------
PC nete çıksın ama sadece belli programların, belli adreslere nete çıkışlarını engellemek içinse;
C:\Windows\System32\drivers\etc\hosts doyasını editlemen yeterli, örnek;
127.0.0.1 localhost
127.0.0.1 acdid.acdsystems.com
127.0.0.1 pingplotter.com
127.0.0.1 www.pingplotter.com
127.0.0.1 activate.navicat.com
127.0.0.1 licence.adobe.com
127.0.0.1 adobe.comgibi. Böylece o adrese gitmek istediği zaman adresi dns sormaz. host dosyası önceliklidir ve orada localhost ipsi (kendisine) gider.
------------------------------------------
PC, netten engellemek için başka bir yol;
Yine pc ipsini statik ver VEYA modem router üzerinden mac adresine ip tanımla. (amaç bu mac adresi her zaman bu ip alsın, ip değişmesin demek için)
Sonra modem router'ın firewall'dan bu pc ipsi giriş/çıkış paketlerinin tamamını engelle de. Bu en eski, dandik modemlerde bile olan bir özelliktir. -
cukurova bunu yazdı
Bunun için ekstra birşey yapmana gerek yok. Bu pc'nin ip adreslerini manuel/statik tanımla.
Örnek bir DHCP'de ip alan makina için durum şöyle;IPv4 Address. . . . . . . . . . . : 192.168.1.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1 (adsl modem, default route)Sen ip statik tanımlayarak; default Gateway adresini alakasız, olmayan bir adres ver, dnsleri boş bırak veya atmasyon ip gir. mesela; 192.168.1.254 gibi.
default route olmayacağı için nete çıkamaz ama aynı ağ içindekiler pc bağlanır.(arp-mac)-------------------
PC nete çıksın ama sadece belli programların, belli adreslere nete çıkışlarını engellemek içinse;
C:\Windows\System32\drivers\etc\hosts doyasını editlemen yeterli, örnek;
127.0.0.1 localhost
127.0.0.1 acdid.acdsystems.com
127.0.0.1 pingplotter.com
127.0.0.1 www.pingplotter.com
127.0.0.1 activate.navicat.com
127.0.0.1 licence.adobe.com
127.0.0.1 adobe.comgibi. Böylece o adrese gitmek istediği zaman adresi dns sormaz. host dosyası önceliklidir ve orada localhost ipsi (kendisine) gider.
çok teşekkür ederim
ama sanırım farklı bir pencereden baktık olaya
şöyle sözel bir diyagrama dökmeye çalışayım;
3 adet bilgisayar var : A - B - C
A bilgisayarı benim masamda. diğerleri yan masalarda. Tüm bilgisayarlar bir adet internetsiz X routeri ile birbirlerine bağlılar. arada modem vs. yok. hiç biri internete çıkamıyor.
B,C bilgisayarları wifi üzerinden bu X routerına bağlandığında RDP ile A bilgisayarına ulaşıyorlar. A bilgisayarı A kullanıcısı ile oturum açıyor. B bilgisayarı B kullanıcısı ile oturum açıyor. İstedikleri gibi at koşturuyor, notepadde not alıyor, paintte çizim yapıyorlar.
B,C bilgisayarları internete gitmek isterse wifilerini X routerından çıkarıp Y routerına bağlıyorlar. RDP bağlantıları kayboluyor. İnternet geliyor.
A bilgisayarı daima X routerına bağlı. İnterneti yok.
Ben bu A bilgisayarı ile kendi A kullanıcımdan oturum açıyorum. Olay burada başlıyor :
A bilgisayarı X routerına bağlı ve interneti yok. İkinci bir ethernet girişi de yok. Wifisi de yok. İnternete çıkamıyor. Ama benim bazen internete erişmem, bir şeyler araştırmam, yüklemem, indirmem, kurmam gerekiyor.
Bu durumda ben telefonumu USB tethering ile A bilgisayarına bağlıyorum. İkinci network adapter olarak telefon görünüyor. Bilgisayar hem benim mobil veri planım üzerinden internete çıkmış oluyor, hem de RDP üzerinden erişime açık.
Bu internet erişimi
1-) Sadece A kullanıcısında olsun. B ve C kullanıcıları bu network adapteri kullanamasın, göremesin, sadece kullanıcılar değil o kullanıcıların çalıştırdığı programlar da internete çıkamasın.
2-) A kullanıcısındaki bu internet erişimi sadece opera.exe ve skype.exe de olsun. A kullanıcısına ait (windows update, windows defender vb.) dahil hiç bir uygulama bu interneti göremesin.
Çok zor, karma karışık bir şekilde çözülebilecek problem ise hiç ellemeyeyim.
Ama tüm kullanıcıların internetini kapat, A kullanıcısına netlimiter kur çözülür diyebiliyorsak, tüm diğer kullanıcıların internetini (RDP engellemeyecek şekilde) nasıl kapatabilirim?
Telefonu bağlayınca gelen network adapteri diğer kullanıcılardan bir şekilde engellesek bile sanırım her telefonu usbden bağlayıp sökme esnasında ethernet adapter 3, ethernet adapter 4 gibi şekillerde yani farklı donanım bağlanmış gibi geliyor. default olarak tümünü engelleyebilmek isterim
-
Şimdi anladım olayı ama bildiğim kadarıyla malesef windows10 vb. işletim sistemlerinde bütün userlar aynı ağı kullanıyor. (tek mac adress/ip adress)
Yerel grup ilkeri (gpedit.msc) diye birşey vardı ama onunda işe yarayacağını zannetmem. Diğer kullanıcılarda administrator yetkisine sahipse daha zor.Muhtemelen yüksek güvenlik nedeniyle A pc'sini network'den ayırıp, internetten izole etmişler. Dikkat et :)
-
Ccproxy ile kullanıcı oluştur. Her kullanıcıya kullanıcı adı şifre ver. İnternette girişleri ccproxy üzerinden balansın. Kullanıcı ustediği pc den kullanıcı hesabını açsın. Şife isteyicek internete girmek için.
rdp network kısıtlama internetsiz internet fiber hızında limitsiz hipernet netlimiter