如果沒有防火牆的話 ,我覺的最簡單方式,如果只是要達到不能上INTERNET,但是內網主機以通
一、如果只有一台,手動改掉使用者的TCP/IP,改GATEAY設成錯的GATEWAY,並確認user的權限不能再去改到tcp/ip,例如為一般user
二、如果數量多,可以在dhcp server上設一段新的子網, 並給予錯的g/w(註:此子網和原先用的不同, 比如原本是192.168.1.0 /248,再加一個是192.168.2.0/248)
然後再到dhcp server 的保留區中把要加入的電腦卡後加進來,這樣使用者每次開機也會分到錯誤g/w
如果ERP的伺服器與CLIENT端之間不在同一網段,那調整G/W這方式就不可行。
1.如果公司對外有防火牆的話,建議還是使用防火牆來做POLICY的阻擋。
2.如果沒有任何FIREWALL設備的話,那還有一個較麻煩的方式,在CLINET端的電腦手動增加靜態路由,將DEFAULT ROUTER指向錯誤的IP,而要到ERP主機的就指向G/W。
分公司跟總公司只有VPN連線 還是說 除了VPN之外 還有其他的對外管道
通常VPN G/W是一個 所以你應該是指向到VPN G/W 讓他可以連回總公司
但是 在總公司的防火牆設定規則 直接擋住不讓特定IP出去
這個或者說 你設定白名單可以出去的有那些 這樣也可以
不然 就是在L3切VLAN把可以出去的跟不可以出去的切開
分開做處理。****