Saludos.
Windows Update maneja una gran cantidad de servidores para servir sus
actualizaciones. Así que el método de colocar el nombre de dominio en
iptables no funciona debido a que:
1) Hace la traducción nombre -> IP una sola vez (cuando se crea la
regla en el kernel) y no en tiempo de ejecución.
2) La resolución DNS eventualmente producirá otro resultado, así que
la regla será inútil.
3) Puede fallar la carga del firewall si hay problemas de resolución.
Las opciones que tienes son 4:
1) Sigues con iptables bloqueando rangos direcciones o IPs
individuales. Mala idea ya que pueden ser decenas, cambian en el
tiempo, pueden hacer fallar el firewall al arranque, es una tarea
tediosa y sobre todo, no es la herramienta correcta para el trabajo.
2) Montas un proxy como Squid y bloqueas los sitios relacionados con
las actualizaciones. Totalmente viable y sencillo ya que son los
siguientes (en notación de squid):
.windowsupdate.microsoft.com
.update.microsoft.com
.windowsupdate.com
.download.microsoft.com
.wustat.windows.com
.ntservicepack.microsoft.com
3) Despliegas DNSMasq, haces que los clientes lo usen como DNS y creas
entradas que apunten a otras páginas (p. ej. la de la organización),
para los nombres de dominio completos relacionados con las
actualizaciones. También funciona muy bien y sirve para bloquear
dominios completos como facebook.
4) Desactivas las actualizaciones automáticas en las máquinas ya sea
por política de dominio activo o de samba o lo haces en cada una.
Que hay opciones, las hay. El hecho es que el firewall (iptables) no
es la herramienta adecuada para hacerlo.
Hasta la próxima.
Atte.,
Carlos Andrés Martínez
2013/12/31 Antonio Moreno
Buenos dias y felices fiestas
Quisiera denegar por iptables las actualizaciones automaticas de microsoft, alguien podria decirme como hacerlo, he intentado denegar toda la pagina de microsoft, pero en principio me muestra la pagina.
La instruccion con la que he probado pero que no funciona es
iptables -t filter -D FORWARD -p tcp -d microsoft.com -j DROP
Alguien sabria decirme por que no funciona?
Muchas gracias y un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org