No Image

Как заблокировать сайт в брандмауэре

СОДЕРЖАНИЕ
3 494 просмотров
16 декабря 2019

Здравствуйте! В этой статье предлагаю рассмотреть вопрос о том, как можно заблокировать сайт через брандмауэр операционной системы Windows 7/10.

К сожалению, у многих пользователей почему-то сложилось негативное мнение по поводу штатного сетевого экрана, хотя работает он вполне себе хорошо. И сейчас вы сами это увидите.

Как включить штатный брандмауэр Windows 7/10 для блокировки сайта?

Скажу сразу, это очень простая процедура. Но давайте начнем сначала. Первым делом необходимо посмотреть, к какому типу сети (домашняя или общественная) относится наш компьютер.

Для этого следуем в "Панель управления" и находим там вкладку "Центр управления сетями и общим доступом. Чтобы сделать это быстро, выберите режим просмотра "Мелкие значки":

Затем входим в "Центр управления" и смотрим интересующую нас информацию. Как видно на скриншоте ниже, в моем случае тип сети "Частный":

Это нужно знать для того, чтобы проверить, что для этой сети вообще включен сетевой экран, иначе все наши блокировки попросту не сработают.

Поэтому теперь в нижней части жмем на пункт "Брандмауэр Windows" и смотрим на его состояние. На картинке ниже все хорошо, можно увидеть, что частная сеть подключена:

Если же это не так, открываем раздел "Включение и отключение брандмауэра Windows" и исправляем ситуацию, то есть включаем его:

Как создать правило для блокировки сайта в брандмауэре Windows 7/10?

Делается это за минуту. Суть состоит в том, чтобы внести IP-адрес запрещенного сайта в специальное правило для исходящего трафика (запросов) с нашего компьютера. Как узнать такой адрес, я подробно показывал в прошлом материале. Кто не знает, обязательно перечитайте.

Итак, идем по пути "Дополнительные параметры-Правила для исходящего подключения-Создать правило":

Далее "Настраиваемые-Все программы":

В разделе "Протокол и порты" можно ничего менять, то есть заблокировать "все и вся", но в таком случае некоторые приложения, например, TeamViewer могут начать работать некорректно. Поэтому лучше указать настройки как на скриншоте ниже. Для блокировки сайтов это будет оптимальным вариантом:

А вот на вкладке "Область" выбираем пункт "Указанные IP-адреса" и добавляем их:

На скриншоте выше в качестве примера показан IP-адрес крупного новостного портала tut.by. Осталось только лишь включить блокировку. Давайте сделаем это для всех типов сетей (частной и общественной):

И вот сейчас, если все сделано правильно, в общем списке правил брандмауэра Windows должно отобразиться и только что созданное. Причем обязательно проверяем, чтобы в графе "Включено" значился положительный ответ:

Кстати, если дважды щелкнуть мышкой по самому правилу, то откроется меню с интересными дополнительными параметрами. Например, можно снять блокировку для администратора, а оставить для пользователей или гостей. Также есть возможность добавить новый узел в черный список:

В общем, для расширения кругозора настоятельно советую вам тут детально покопаться. Уверен, найдете много интересного.

Как заблокировать сайты через брандмауэр Windows 7/10 кроме определенных?

Согласитесь, бывают и такие случаи, когда нужно разрешить доступ только к ограниченному списку интернет-ресурсов, а ко всем остальным заблокировать. В таком случае на помощь приходит диапазон IP-адресов.

Поясняю на пальцах, как это выглядит на практике. Допустим, ресурс к которому мы хотим дать доступ имеет адрес 86.57.234.184. В таком случае следует создать два диапазона, которые будут блокировать все адресное пространство "до и после". Внимание на скриншот:

  • 1-й диапазон: 0.0.0.0 — 86.57.234.183;
  • 2-й диапазон: 86.57.234.185 — 255.255.255.255.

Обратите внимание, ключевые значения выделены жирным шрифтом. Вот таким простым способом можно комбинировать любые сочения сайтов. Так что экспериментируйте на здоровье.

Надежна ли такая блокировка сайтов с помощью брандмауэра Windows?

Безусловно, но как и в предыдущем случае, только если на компьютере есть разграничения прав пользователей (администратор или нет). Иначе ничего не помешает юзеру с полными привилегиями отменить к чертям собачьим все ограничения элементарным отключением брандмауэра.

Кстати, стоит сказать, что в Windows 10 имеется штатный браузер Microsoft Edge, который по умолчанию находится в исключениях сетевого экрана и который не так-то просто оттуда убрать. Но об этом поговорим уже в ближайшей статье. Всем пока.

Интернетом в современном мире пользуются с самого раннего возраста. Ряд родителей запрещают своим детям использовать интернет на компьютере, опасаясь, что они могут «нарваться» на сайты с содержанием для взрослых. Это не самый эффективный способ ограничения ребенка от взрослого контента, к тому же, в интернете содержится много интересной и полезной информации, которая необходима для развития ребенка. Лучше заблокировать отдельные сайты, чтобы они не открывались на компьютере. В рамках данной статьи мы рассмотрим, как это сделать несколькими способами.

Как заблокировать доступ к сайту через файл hosts

Хорошо знакомый способ ограничения доступа к сайту в операционной системе Windows – это добавление необходимых строк в файл hosts. Часто вирусные приложения поступают подобным образом, блокируя пользователям возможность, например, заходить во ВКонтакте или на другие сайты именно через файл hosts. Пользователь также может самостоятельно добавить ресурсы, которые он не хочет, чтобы открывались через браузер на компьютере, в этот файл:

  1. Для начала потребуется открыть приложение «Блокнот» от имени администратора. Для этого начните писать слово «Блокнот» в поиске и когда приложение будет найдено, нажмите на него правой кнопкой мыши и выберите пункт «Запуск от имени администратора»;
  2. Открыв приложение «Блокнот» от имени администратора, нужно нажать в верхнем меню «Файл» — «Открыть» и найти файл hosts, который располагается по следующему адресу:

Обратите внимание: По умолчанию «Блокнот» предлагает открывать только текстовые файлы. Чтобы по данному адресу был виден файл hosts, установите внизу окна поиска вариант «Все файлы»;

  • Когда файл hosts будет открыт в блокноте, в него потребуется внести некоторые изменения. Вносятся они в самый низ файла. Возможны два варианта:
    • Сперва прописывается адрес 127.0.0.1 и через пробел адрес сайта. В таком случае доступ к данному сайту будет заблокирован;
    • Сперва прописывается ip-адрес сайта, на который вы хотите включить переадресацию. Например, ip-адрес сайта Yandex – 93.158.134.11, а после него через пробел сайт, при заходе на который будет срабатывать переадресация.
    • Важно: Для каждого сайта желательно создавать две строчки в файле hosts – одна с простым адресом сайта, например vk.com, а вторая с адресом сайта и припиской www в начале, то есть www.vk.com.

    • Когда все необходимые изменения в файл hosts будут внесены, сохраните его.
    • Изменения вступят в силу после перезагрузки компьютера.

      Блокировка доступа к сайту через брандмауэр Windows

      В операционной системе Windows, начиная с 7 версии, имеется встроенный брандмауэр, который можно использовать для блокировки сайтов. Сложность состоит в том, что, в отличие от изменений в файле hosts, в брандмауэр нужно вводить ip-адрес сайта, к которому идет подключение. Подробно опишем, как выполнять блокировку сайтов через брандмауэр:

      1. Сначала нужно узнать ip-адрес сайта, который будем блокировать. Для этого запустите командную строку и введите в ней команду: Ping адрес_сайта. После этого нажмите Enter, и в окне командной строки будет направлен запрос на сайт, а вместе с тем можно будет увидеть ip-адрес ресурса. Запишите его, перед тем как переходить к следующему пункту инструкции;
      2. Далее нужно запустить сам брандмауэр Windows, для этого введите в поиск словосочетание «Брандмауэр Windows» и откройте предложенную поиском утилиту. Также запустить приложение можно, если зайти в «Панель управления», далее выбрать режим отображения «Крупные значки» и перейти в раздел «Брандмауэр Windows», а после в «Дополнительные параметры»;
      3. Открыв брандмауэр Windows, нажмите в левой части окна на пункт «Правила для исходящего подключения», а после справа выберите вариант «Создать правило»;
      4. Откроется новое окно, в котором выберите пункт «Настраиваемые» и нажмите «Далее»;
      5. На следующей странице установите галочку в пункт «Все программы» и нажмите «Далее»;
      6. На следующей странице не требуется ничего менять, просто жмите «Далее»;
      7. В разделе «Область» необходимо переключить в графе «Укажите удаленный IP-адрес» на пункт «Указанные IP-адреса». После этого нажмите «Добавить» и откроется окно. В этом окне нужно ввести IP-адреса сайта, который требуется заблокировать на компьютере, после чего нажать «ОК» и «Далее»;
      8. В разделе «Действие» выберите вариант «Блокировать подключение» и нажмите «Далее»;
      9. На странице «Профиль» ничего менять не нужно, а в окне «Имя» укажите название созданного правила.

      После этого сохраните все изменения, и брандмауэр Windows будет автоматически блокировать сайт с указанным IP-адресом при попытке подключиться к нему.

      Как заблокировать доступ к сайтам при помощи Яндекс.DNS

      Интересный сервис представила компания «Яндекс», который позволяет ограничить детей или других пользователей компьютера от посещения нежелательных сайтов. На сайте https://dns.yandex.ru/ пользователям предлагается подключиться к DNS компании Яндекс. При этом представлены 3 варианта:

      • Базовый. При подключении к нему, ограничения на доступ к сайтам не накладываются. Его компания Яндекс рекомендует использовать, чтобы быстрее происходило подключение к интернет-ресурсам;
      • Безопасный. При подключении к данным серверам DNS, пользователь защищается от зараженных сайтов, ресурсов мошенников и ботов;
      • Семейный. При подключении к семейному DNS, помимо защиты от зараженных и мошеннических сайтов, а также ботов, у пользователя блокируются сайты для взрослых и реклама для взрослых, а вместе с тем включается «Семейный поиск Яндекс».

      Чтобы подключиться к одному из DNS компании Яндекс, нужно сделать следующее:

      1. Нажать на клавиатуре сочетание Windows+R и прописать в открывшейся строке «Выполнить» команду ncpa.cpl, после чего нажать «ОК»;
      2. Далее в списке открывшихся подключений нажмите правой кнопкой мыши на то, которое вы используете, и перейдите в «Свойства»;
      3. В меню со списком сетевых протоколов выделите «IP версии 4 (TCP/IPv4)» и перейдите в свойства;
      4. В нижней части окна введите DNS, предложенные компанией Яндекс для желаемого режима.

      Сохраните настройки, после чего защита начнет действовать.

      Расширение в Google Chrome для блокировки сайтов

      Еще один способ заблокировать доступ на нежелательные сайты – это установить в браузер Google Chrome специальное расширение, в котором указать нежелательные для посещения ресурсы. В магазине расширений Google Chrome имеется расширение под названием «Block Site» — оно отлично справляется с блокировкой ресурсов.

      После того как расширение будет установлено, перейти в его настройки можно, если нажать правой кнопкой мыши в любом месте и выбрать пункт «Block Site». Расширение полностью локализовано на русский язык, и в его работе несложно разобраться.

      Расширение позволяет заблокировать отдельные сайты или установить переадресацию при заходе на них. Также можно прописать «стоп-слова», при обнаружении которых в адресе сайта, доступ к ресурсу будет блокироваться. Можно установить и многие другие параметры блокировки, а изменения опций в расширении «Block Site» настроить только по паролю.

      Видеоинструкция

      Рассмотрим несколько способов, которые помогут вам запретить доступ к отдельным сайтам, URL и IP адресам в Windows без использования сторонних программ. Обычно блокировку сайтов наиболее эффективно настраивать на уровне сетевого шлюза (роутер, маршрутизатор, Wi-Fi точка доступа, через которую вы выходите в Интернет), или с помощью стороннего ПО (фильтры контента, DNS фильтры и т.д.). В нашем случае мы попробуем заблокировать определенный сайт с помощью встроенных средств Windows 10 и автоматизации PowerShell.

      Блокировка сайтов в Windows с помощью файла hosts

      Самый известный способ заблокировать определенный сайт в Windows – отредактировать файл hosts. Обычно файл находится в каталоге %windir%system32driversetc. Обратите внимание, что у файла hosts нет расширения.

      Файл hosts используется для ручного назначения соответствий между IP адресами и DNS именами. При выполнении разрешении имен файл hosts имеет приоритет над DNS серверами, указанными в настройках сетевых подключений,

      Чтобы заблокировать определенный сайт (например, ok.ru), откройте на редактирование файл hosts (с правами администратора) и добавьте в него строки вида:

      127.0.0.1 ok.ru
      127.0.0.1 www.ok.ru

      Сохраните файл и перезагрузите компьютер (или очистите DNS кэш командой: ipconfig /flushdns ).

      После этого при попытке открыть сайт ok.ru в любом браузере будет появляется сообщение “Страница не найдена” / “Страница не доступна”.

      Вы можете добавлять новые строки с URL сайтов в файл hosts с помощью такого bat файла:

      @echo off
      set hostspath=%windir%System32driversetchosts
      echo 127.0.0.1 www.facebook.com >> %hostspath%
      echo 127.0.0.1 facebook.com >> %hostspath%
      exit

      Либо можно воспользоваться следующими PowerShell функциями для автоматизации блокировки (разблокировки) определенных сайтов в списке запрещенных доменов в файле hosts.

      Function BlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) <
      $hosts = ‘C:WindowsSystem32driversetchosts’
      $is_blocked = Get-Content -Path $hosts |
      Select-String -Pattern ([regex]::Escape($Url))
      If(-not $is_blocked) <
      $hoststr="127.0.0.1 ” + $Url
      Add-Content -Path $hosts -Value $hoststr
      >
      >

      Function UnBlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) <
      $hosts = ‘C:WindowsSystem32driversetchosts’
      $is_blocked = Get-Content -Path $hosts |
      Select-String -Pattern ([regex]::Escape($Url))
      If($is_blocked) <
      $newhosts = Get-Content -Path $hosts |
      Where-Object <
      $_ -notmatch ([regex]::Escape($Url))
      >
      Set-Content -Path $hosts -Value $newhosts
      >
      >

      Теперь чтобы добавить определенный сайт в заблокированные достаточно выполнить функцию:

      Чтобы разблокировать сайт запустите:

      Блокировка сайтов через DNS

      Если ваши клиенты пользуются одним DNS сервером, вы можете аналогичным образом заблокировать определенный сайты с помощью создания DNS записи в этом DNS, указывающей на 127.0.0.1 (или что-то в таком роде). По такому принципу, кстати, работают большинство коммерческих контент фильтров DNS (OpenDNS, SkyDNS, Яндекс.DNS и т.д.).

      Блокируем IP адрес сайта в брандмауэре Windows

      Также вы можете заблокировать определенные сайты с помощью встроенного Windows Firewall. Главный недостаток такого метода – вы не сможете использовать имя домена или сайта в правиле блокировке. Брандмауэр Windows в качестве источника/назначения позволяет указать только IP адрес или подсеть.

      Сначала нужно определить IP адрес сайта, который вы хотите заблокировать. Проше всего это сделать командой nslookup.

      Как вы видите в результатах команды присутствует несколько IP адресов, которые назначены сайту. Вам нужно заблокировать их все.

      Теперь нужно запустить панель настройки Windows Firewall (Панель управления Все элементы панели управленияБрандмауэр Защитника WindowsДополнительные параметры или firewall.cpl).

      В секции “Правила для исходящих подключений” создайте новое правило со следующими параметрами:

      • Тип правила: Настраиваемые;
      • Программа: Все программы;
      • Тип протокола: Любой;
      • Область: в секции “Укажите удаленные IP адреса, к которым применяется данное правило” выберите пункт “Указанные IP адреса” -> Добавить. В открывшемся окне укажите IP адреса, IP подсети или диапазон IP адресов сайтов, которые нужно заблокировать.

      Нажмите OK-> Далее -> Действие: “Блокировать подключение”.

      В окне со списком профилей брандмауэра, к которым применяется это правило оставьте все опции. Осталось указать имя правила и сохранить его.

      После этого Брандмауэр Защитника Windows будет блокировать все соединения с данным сайтом. В браузере при подключении к заблокированному сайту будет появляться ошибка:

      Unable to connect

      Доступ в Интернет закрыт
      Возможно, подключение заблокирована брандмауэром или антивирусным ПО.
      ERR_NETWORK_ACCESS_DENIED

      В домене AD вы можете распространить на компьютеры пользователей политику блокирующую сайт с помощью GPO. Но еще раз скажем, это нецелесообразно. Фильтровать сайты правильнее на шлюзе доступа в Интернет.

      PowerShell: правила блокировки сайтов по имени и IP адресу в брандмауэре Windows

      Вы также можете с помощью PowerShell создать правило брандмауэра, блокирующее исходящие подключения к определенному сайту:

      New-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress 217.20.147.1, 217.20.141.0/26

      Строка “ The rule was parsed successfully from the store” говорит о том, что правило новое правило брандмауэра успешно применено. Вы можете найти его в графическом интерфейсе Windows Firewall.

      Чтобы не резолвить имя сайта в IP адреса вручную можно использовать PowerShell командлет Resolve-DnsName для получения IP адресов сайтов.

      Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddress

      Таким образом мы можем преобразовать имя домена в IP адреса и сразу добавить запрещающее правило для блокирования доступа к сайту:

      $IPAddress = Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddress
      New-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress

      Получается, что теперь вы можете добавить запрещающее правило в Windows Firewall сразу для нескольких сайтов:

      $SitesToBlock = “lenta.ru”,”mail.ru”,”facebook.com”
      $IPAddress = $SitesToBlock | Resolve-DnsName -NoHostsFile | Select-Object -ExpandProperty IPAddress
      New-NetFirewallRule -DisplayName "Block Web Sites" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress

      У командлета Resolve-DnsName я добавил параметр –NoHostsFile, чтобы не использовать при проверке файл hosts.

      Проверим, что блокирующее правило для исходящего появилось в консоли.

      Эта статья прежде всего разминка для ума. В корпоративной сети для ограничения доступа к сайтам нужно использовать фильтрацию на уровне шлюза доступа в интернет или прокси-сервере. Блокировка доступа на уровне хостов не столь эффективна.

      Комментировать
      3 494 просмотров
      Комментариев нет, будьте первым кто его оставит

      Это интересно
      No Image Компьютеры
      0 комментариев
      No Image Компьютеры
      0 комментариев
      No Image Компьютеры
      0 комментариев
      No Image Компьютеры
      0 комментариев