Имеется в сети сервер WSUS.
Поставил firewall на базе фряхи\сквид.
WSUS не качает обновления с Windows Update.
Добавил уже 11 айпишников, вчера качало - сегодня перестал - видать наткнулся на новый
В правиле any писать не очень охота на 80, 443 порты.
Чтоб не мучиться долгим анализом логов может кто знает все айпишники серверов обновлений Microsoft ?
[Ответ]
netwind 16:03 05.03.2010
1. а что ж не в раздел про unix http://bvf.ru/forum/forumdisplay.php?f=100 ?
2. можно все разрешить и посмотреть откуда они качаются. потом задать в acl dstdomain домены. там будет что-то типа .windowsupdate.com .
[Ответ]
LoD 08:22 06.03.2010
Да тут всего лишь нужно знать все IP-адреса серверов обновлений...
Затем перечислить массив...
Перечислить можно и доменные имена - nslookup еще работает [Ответ]
netwind 11:14 06.03.2010
Сообщение от :
Далее например. модуль string (netfilter'а) разбирает содержимое пакета 'опознаёт' зеркало -> пропускает пакет и добавляет в список.
а в таблице nat обрабатывается только первый пакет и нельзя проверить URL (да и вообще полезные данные пакета), потому что данных в первом пакете просто нет. Кстати там freebsd, но nat по-моему везде так строится.
Кроме доступа ко всему домену, мало чего можно реально предложить.
[Ответ]
LoD 19:25 06.03.2010
Насколько я на данный момент разбираюсь, в правилах чтобы всус ходил по нату я должен писать ip-адреса...
Через сквид\самс всус не хочет ходить никак.
[Ответ]
netwind 21:32 06.03.2010
Он авторизоваться не может, а ходить к прокси может.
[Ответ]
netwind 07:59 09.03.2010
Africa, это в каких таких случаях?
Правило то написать можно, но оно не будет работать. Просто посмотрите счетчики в таблице nat на какой-нибудь живой конфигурации и убедитесь, что там считается только первый пакет. А значит только первый пакет и проходит.
Хотя можно и поступить нетрадиционно : все nat-ить и в другой таблице forward уже проверять url.
[Ответ]
netwind 11:45 09.03.2010
Africa, почти все так. Но нельзя сделать полностью красиво. Сначала первый пакет обработает nat, а потом условно четвертый пакет будет отброшен ( хотя здесь был бы лучше REJECT).
На практике это будет выглядеть как подключение, попытка передачи запроса и обрыв соединения. И в логи программ запишется странное соединение. В принципе допустимо, хотя и нетрадиционно.
Раз уж речь шла о squid, я думаю, автору топика, скорее важно кешировать эти обновления для быстрой раздачи внутри сети.
Я все-таки не понимаю зачем такие мучения, если можно соорудить acl по доменам.
Вот тут http://wiki.squid-cache.org/SquidFaq/WindowsUpdate вроде годный список, который не дает полного доступа к microsoft.com. По мне так и в полном доступе нет ничего плохого. Ну "активирует" кто-нибудь из сотрудничков семерочку, ну сам виноват.
[Ответ]
LoD 19:58 09.03.2010
Возникла неожиданно интересная дискуссия, в которую я как топикстартер просто обязан вклинится...
Все начиналось как нельзя просто...
Может быть я просто много лишней информации дал в вопросе, но сам то вопрос (отбросив squid, nat, маскарадинг и прочее) заключался в следующем:
Каковы ВСЕ ip-адреса серверов обновлений WSUS?
____________
Для продолжения дискуссии я завтра с работы приведу кусок скрипта моего firewall'a...
Который собственно и разрешает\блокирует доступ по нату
[Ответ]
netwind 21:15 09.03.2010
LoD, но нас не проведешь. мы то знаем, что на самом деле надо обеспечить работающие обновления.
можно сегодня найти IP, но завтра они сменятся.
[Ответ]
LoD 10:32 10.03.2010
Сообщение от netwind:
но завтра они сменятся
как тогда обеспечить доменные адреса?
Код:
#############--WSUS Servers--######################
wsus1="87.248.217.100"
wsus2="87.248.217.106"
wsus3="65.55.25.60"
wsus4="207.46.225.221"
wsus5="65.54.89.34"
wsus6="65.54.89.42"
wsus7="65.54.89.54"
wsus8="65.54.89.55"
wsus9="207.46.197.59"
wsus10="207.46.253.188"
wsus11="207.46.22.245"
wsusip=$wsus1,$wsus2,$wsus3,$wsus4,$wsus5,$wsus6,$wsus7,$wsus8,$wsus9,$wsus10,$wsus11
######################################################
#################################-- NAT For WSUS--#########################
$cmd 410 count tcp from $srv to $wsusip 80,443 in via $LAN
$cmd 411 $skip tcp from $srv to $wsusip 80,443 in via $LAN setup keep-state
gene, откуда информация?
Такое огромное кол-во адресов просто поражает
[Ответ]
netwind 22:36 14.03.2010
Забыли, что microsoft, как и другие любящие клиентов фирмы, пользуются сервисом akamai. Там просто что угодно может быть на этих ip, начиная от сайта правительства США кончая рекламными роликами пепси.
Вбивайте уже домены.
[Ответ]
gene 13:27 15.03.2010
Сообщение от LoD: gene, откуда информация?
Такое огромное кол-во адресов просто поражает
gene, апдейты все криптографически подписаны, так почему бы и не использовать akamai ? логи они хранят согласно собственной политике конфиденциальности. По крайней мере заявляют так. Неужели врут и хранят вообще все? Через яндекс тоже можно проверить насколько часто встречаются слова windows update и akamai вместе http://yandex.ru/yandsearch?text=win...amai%20&lr=193
Готовое решение, как уже я уже говорил, есть в faq сквида. Просто топикстартер еще более упертый чем вы Вы то почему мне не верите?
whitehouse.gov - 96.6.234.135
whois 96.6.234.135
orgName: Akamai Technologies
OrgID: AKAMAI
Address: 8 Cambridge Center
City: Cambridge
StateProv: MA
PostalCode: 02142
Country: US
И такого там довольно много, если государственные сайты не относятся г гостайне. Для имиджа правительства важно чтобы сайты грузились быстро, а не чтобы откаты собирались.
[Ответ]
gene 14:07 15.03.2010
Сообщение от netwind: gene, апдейты все криптографически подписаны, так почему бы и не использовать akamai ? логи они хранят согласно собственной политике конфиденциальности. По крайней мере заявляют так. Неужели врут и хранят вообще все? Через яндекс тоже познавательную информацию можно получить http://yandex.ru/yandsearch?text=win...amai%20&lr=193
Готовое решение, как уже я уже говорил, есть в faq сквида. Просто топикстартер еще более упертый чем вы Вы то почему мне не верите?
whitehouse.gov - 96.6.234.135
whois 96.6.234.135
orgName: Akamai Technologies
OrgID: AKAMAI
Address: 8 Cambridge Center
City: Cambridge
StateProv: MA
PostalCode: 02142
Country: US
И такого там довольно много, если государственные сайты не относятся г гостайне. Для имиджа правительства важно чтобы сайты грузились быстро, а не чтобы откаты собирались.
gene, давайте, несмотря на ваш традиционно конфликтный и совершенно не нужный здесь стиль общения, посмотрим какие образовались отдельные утверждения :
1. microsoft использует akamai для сервиса windows update и подтверждение можно найти в яндексе.
2. сайты whitehouse.gov,www.fbi.org - используют akamai. Тут сразу видно, что ip принадлежит akamai.
3. Если разрешать доступ к сетям для windows update, то придется разрешить и доступ к akamai. При этом, можно случайно приоткрыть доступ к остальным сайтам, которые тоже используют akamai. Поэтому эта идея плоха.
Сообщение от netwind: gene, давайте, несмотря на ваш традиционно конфликтный и совершенно не нужный здесь стиль общения, посмотрим какие образовались отдельные утверждения :
1. microsoft использует akamai для сервиса windows update и подтверждение можно найти в яндексе.
2. сайты whitehouse.gov,www.fbi.org - используют akamai. Тут сразу видно, что ip принадлежит akamai.
3. Если разрешать доступ к сетям для windows update, то придется разрешить и доступ к akamai. При этом, можно случайно приоткрыть доступ к остальным сайтам, которые тоже используют akamai. Поэтому эта идея плоха.
Что, на ваш взгляд, тут неверно и почему?
Дружок, вы уже не замечаете, что выражение "упертый", "ваш традиционный стиль", "неуместно здесь" использую не я? И я не учу вас, что и как говорить, за исключением указания на ваше конкретное хамство.
В остальном - читайте первый пост и свои фантазии про акамай. Мне вы неинтересны, а автор переживет как-нибудь.
[Ответ]
netwind 12:09 16.03.2010
gene, если человек совершенно не воспринимает противоположную точку зрения, не пытается объяснить почему она неверная, я называю его упертым.
По сути вопроса что можете сказать? первый пост вы почему-то стерли.
[Ответ]
