Hi,

Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Der Rechner kann dann aber auch nicht im Intranet agieren, oder?

doch, solange es dasselbe IP-Subnetz ist (wovon ich ausgehe). Dann braucht man kein Routing und folglich auch kein "gateway".

So long,
 Martin

Hi!

Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.

Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?

Kommt auf Deine Technik an. Mein Router mag auch gern mit MAC Adressen gefuetert werden. Damit waers kein Problem.

All das koennte aber durch einen Proxy ausgehebelt werden, den sich evtl jemand aus einem anderen PC bastelt.

Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)

Nun wirds interessant. Du kannst natuerlich bestimmte Ports sperren. Aber das ist nur maessig effektiv.

Normalerweise updatet sich in so einem Netz nichts selbst. Dafuer gibts den Admin, der das gewoehnlich automatisiert auf die PCs im Netzwerk verteilt. Unsere Babys hier gehen fuer Patches und Updates mittlerweile von allein an, sollten sie zur Updatezeit ausgeschaltet sein. Die aelteren Modelle holen sich die Updates beim Start bzw. waehrend des Betriebs.

Bei kleineren Netzwerken, kann sich der Admin auch mal selbst bemuehen und setzt sich halt mal persoenlich an jede Maschine.

Wenn Du bestimmte Programme verbieten moechtest wirds sowieso auf eine Ueberwachung der PCs hinauslaufen. Eine Firewall auf den Maschinen ist dabei noch das niedlichste.

Hallo,

Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Innerhalb seines Netzes oder innerhalb "sich selbst"? Bedeutet das nicht, dass er dann auch auf die firmeninternen Netzlaufwerke nicht zugreifen kann?

nein, siehe /?t=194724&m=1302497.

Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Dass das nicht passiert, dafür kann ich sorgen.

Also gut. Dann kommt die Lösung eventuell doch in Frage.

Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?

Jein. Er muss vom Router eindeutig identifizierbar sein. Eine feste, statische IP-Adresse wäre eine Möglichkeit. Falls aber der Router gleichzeitig DHCP-Server ist[1], kann man den sicher auch so konfigurieren, dass derselbe Client auch immer dieselbe IP-Adresse bekommt.

Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)

Genau *das* ist für mich auch der primäre Grund, eine Software-Firewall einzusetzen.
Aber es wäre natürlich auch denkbar, dem (den) Browser(n) einen nicht existierenden Proxy (z.B. 127.0.0.1) zu konfigurieren. Dann könnte der keine Verbindung nach draußen (d.h. nach außerhalb des Rechners) aufbauen, während andere Programme, die normal konfiguriert sind, ungehindert ins Internet können.

So long,
 Martin

[1] Zumindest bei den SOHO-Geräten ist das der Regelfall; bei größeren Lösungen, wo ein PC als Router fungiert, könnten diese Dienste aber ebenso zusammengefasst sein.