Ограничить доступ к локальную сеть, оставив интернет
 

Доброго времени суток! На работе есть арендаторы надо им запретить локальную сеть, оставив интернет. Как это сделать? Подскажите пожалуйста! Схему можете Файл 152151. Какую программу посоветуете? Или через роутер TPlink TD-W8961N можно сделать подсеть? Если да, то как?

Программа называется "Брандмауэр Windows". Или любой другой файрволл, который у вас используется. Более того, у вас же домен. У вас что, всем, кому ни попадя ресурсы открыты?

ITKAZ, по схеме у вас есть kerio, вот в нем ручками и создайте группы, пользователей и правила.

Спасибо Вам! Можно ли через Брандмауэр Windows ограничить доступ к локальной сети всем арендаторам?

Да У нас есть домен, но сервер зависает. И пользователи не в домене. Этим летом решим этот вопрос.

. В Kerio у нас есть группы. Это мы сделали для того что бы ограничить доступ к интернету. Можно ли сделать также ограничение доступа к локальной сети, оставив интернет? Если да, то как?

каждого арендатора надо изолировать в отдельную сеть: купить коммутатор (switch) с VLAN

поменять роутер на микротик - там можно ВСЁ. :)

в правилах трафика указываете группу которой нельзя к другой группе ничего

эти правила будут применять для исходящего-входящего интернет трафика, но никак на трафик внутри локальной сети.

без логического, физического разделения сетей у Вас, ITKAZ, ничего не получится. А для этого нужно менять коммутратор и маршрутизатор. Фаерволом Windows Вы лишь закроете доступ к Windows компьютерам, а как на счёт Ваших принтеров и прочей перефирии? Более того, арендаторы буду иметь доступ друг к другу, что тоже не есть хорошо...

Можете подробно написать пожалуйста. Вот так будет? Файл 152154

да

Че то не работает

я же объяснил:
потому, что локальный трафик не идёт через Kerio.

ITKAZ, значит за железкой в магазин, как советуют выше.
Хотя могу предложить еще вариант с dhcp и разным адресным пространстовлом для пользователей, но тоже могут быть "но"

Естественно. Закройте на всех компьютерах сети доступ с адресов арендаторов. Делов то...

Вы не ответили:
Если ответ "НЕТ", тогда непонятно, что вы вообще кипеж поднимаете.

Есть несколько вариантов. Но все зависит от того, что Вы даете арендаторам? Если только интернет. То самый просто варинт, и в вашем случае не требующий денег, но и незащищающий на 100 процентов.
1. На Kerio Control прописываете еще один IP адрес на сетевом интерфейсе (в другйо подсети), который смотри в локалку (ну или если есть еще одна сетевая карта, то на ней). Арендаторам, выдаете IP из этой сети ручками. и уже на Kerio запрещяете трафик из локальной сети в сеть арендаторов и наоборот.
+ у вас все есть, тратится не надо
- поставят они галку получать IP автоматически и работать уже не будет. (ну или если вы их MAC зарезервируете на DHCP сервере, и будете давать левые параметры)

2. Более дорогой вариант. управляемый коммутатор. настариваете VLAN и будет вам счастье
+ Все будет работать так как вы и задумали.
- надо потратится от 5 000 до 10 000 р.