bonjour a tous, je cherche a désactivé uniquement la passerelle par défaut soit directement sur le pc soit via GPO et la bloqué sur une adresse bidon, mais que l'adresse IP et le mask , eux , peuvent être modifié
 
je m'explique, je dois empêcher un ordinateur de sortir sur internet , mais il doit pouvoir se connecter sur des machines métiers du Lan via html et leur adresse IP, les réseaux Lan changent selon les sites.
 
du coup je dois changer l'adress ip lan souvent, je ne dois pas bloqué l'HTML (port 80, 443 etc...) et je dois juste bloquer la passerelle
 
 
comment faire svp ?
 
 
ps : j'ai essayé avec l histoire du proxy avec un ip bidon, cela fonctionne, mais du coup mais machine du lan ne sont plus accessible.
 
 
merci d avance a vous

Bonjour,  
la solution envisagée ne semble pas du tout adaptée...  
 
N'as tu pas un pare-feu pour gérer tes flux ?

Si pas de pare-feu niveau routeur, il faut utiliser celui de Windows.

merci pour vos réponses, mais non par de firewall car je vais chez des clients qui exigent un pc sans internet, mais je dois quand même me connecter sur les machines métier en html via leurs ip
 
pour le pare feu Windows je bloque quoi ?

Le FW de windows est pas du tout pratique pour ça car il ne possède pas de priorisation des règles. En gros si une règle bloque le trafic et une autre autorise le LAN ça ne fonctionnera pas, tout sera bloqué.
 
Il faut donc magouiller avec une seule règle bloquante en renseignant méticuleusement les plages IP, j'avoue que je découvre cette problématique en même temps.
 
Un exemple : https://geekoverdose.wordpress.com/ [...] allow-lan/
 
Le plus simple serait vraiment de le faire sur le firewall principal en bloquant par adresse MAC.

Attention, pas d'internet -> comment se font les MAJ ? Que ce soit l'OS, les pilotes, les applicatifs ?
 
Pourquoi pas d'Internet ? Quel est le but recherché ?

le but est que : etre sur qu'un technicien ne va pas connecté son pc et surfer sur le web ou télécharger n'importer quoi , etre sur qu'aucune connexion distante est possible  quand il est chez le client , et que l'ordinateur est connecté au machines metiers.
 
seul l'admin fait les maj et update quand le pc revient à la maison mere.

Il faut se doter d'un firewall au niveau du routage avec Internet.
Si possible avec du proxy filtrant HTTP/HTTPS.
En gros il faudrait une appliance de sécurité

+1 pour le proxy.
 
Dans plusieurs boites où je suis passé, il y avait souvent un proxy avec authentification et seuls les employés autorisés avaient les codes.
 
Sinon en attendant tu peux mettre un proxy bidon et ajouter en exception les IP du LAN (sous la forme 192.168.1.* par ex), et là ça fonctionne comme attendu    Par contre faire gaffe à ne pas autoriser les navigateurs tiers (firefox...), sinon c'est facilement contournable.