[opensuse-es] iptables y actualizaciones de windows
Buenos dias y felices fiestas Quisiera denegar por iptables las actualizaciones automaticas de microsoft, alguien podria decirme como hacerlo, he intentado denegar toda la pagina de microsoft, pero en principio me muestra la pagina. La instruccion con la que he probado pero que no funciona es iptables -t filter -D FORWARD -p tcp -d microsoft.com -j DROP Alguien sabria decirme por que no funciona? Muchas gracias y un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2013-12-31 14:05, Antonio Moreno wrote:
Buenos dias y felices fiestas
Quisiera denegar por iptables las actualizaciones automaticas de microsoft, alguien podria decirme como hacerlo, he intentado denegar toda la pagina de microsoft, pero en principio me muestra la pagina.
No se. También puedes poner un DNS local y cambiar la dirección de la pagina. Siempre que sea esa página la que busquen y no otra menos conocida. -- Cheers, Carlos E. R. (from 13.1 x86_64 "Bottle" (Elessar)) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Saludos. Windows Update maneja una gran cantidad de servidores para servir sus actualizaciones. Así que el método de colocar el nombre de dominio en iptables no funciona debido a que: 1) Hace la traducción nombre -> IP una sola vez (cuando se crea la regla en el kernel) y no en tiempo de ejecución. 2) La resolución DNS eventualmente producirá otro resultado, así que la regla será inútil. 3) Puede fallar la carga del firewall si hay problemas de resolución. Las opciones que tienes son 4: 1) Sigues con iptables bloqueando rangos direcciones o IPs individuales. Mala idea ya que pueden ser decenas, cambian en el tiempo, pueden hacer fallar el firewall al arranque, es una tarea tediosa y sobre todo, no es la herramienta correcta para el trabajo. 2) Montas un proxy como Squid y bloqueas los sitios relacionados con las actualizaciones. Totalmente viable y sencillo ya que son los siguientes (en notación de squid): .windowsupdate.microsoft.com .update.microsoft.com .windowsupdate.com .download.microsoft.com .wustat.windows.com .ntservicepack.microsoft.com 3) Despliegas DNSMasq, haces que los clientes lo usen como DNS y creas entradas que apunten a otras páginas (p. ej. la de la organización), para los nombres de dominio completos relacionados con las actualizaciones. También funciona muy bien y sirve para bloquear dominios completos como facebook. 4) Desactivas las actualizaciones automáticas en las máquinas ya sea por política de dominio activo o de samba o lo haces en cada una. Que hay opciones, las hay. El hecho es que el firewall (iptables) no es la herramienta adecuada para hacerlo. Hasta la próxima. Atte., Carlos Andrés Martínez 2013/12/31 Antonio Moreno <antonio@sorianatural.es>
Buenos dias y felices fiestas
Quisiera denegar por iptables las actualizaciones automaticas de microsoft, alguien podria decirme como hacerlo, he intentado denegar toda la pagina de microsoft, pero en principio me muestra la pagina.
La instruccion con la que he probado pero que no funciona es
iptables -t filter -D FORWARD -p tcp -d microsoft.com -j DROP
Alguien sabria decirme por que no funciona?
Muchas gracias y un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Gracias a ambos Carlos por las respuestas ;) Carlos E.R. La opcion de un DNS local, me es dificil, son maquinas virtuales que se generan en el momento, podria ponerles una GPO para que tubieran esa ruta en el archivo hosts, pero ahora mismo prefiero buscar otras alternativas Carlos Martinez 1 opcion como tu muy bien me explicas, descartada. 2 opcion tambien descartada, no quiero configurar nada en las maquinas virtuales, y el tener squid me implicaria ponerles un prox, cosa que no quiero 3 Creo que es dificil, pero no imposible, sera mi proxima via de exploracion 4 Como os he dicho no quiero tocar nada en los clientes, pero lo revisare Lo dicho muchas gracias y un saludo Antonio El 31/12/13 16:55, Carlos Martinez escribió:
Saludos.
Windows Update maneja una gran cantidad de servidores para servir sus actualizaciones. Así que el método de colocar el nombre de dominio en iptables no funciona debido a que:
1) Hace la traducción nombre -> IP una sola vez (cuando se crea la regla en el kernel) y no en tiempo de ejecución.
2) La resolución DNS eventualmente producirá otro resultado, así que la regla será inútil.
3) Puede fallar la carga del firewall si hay problemas de resolución.
Las opciones que tienes son 4:
1) Sigues con iptables bloqueando rangos direcciones o IPs individuales. Mala idea ya que pueden ser decenas, cambian en el tiempo, pueden hacer fallar el firewall al arranque, es una tarea tediosa y sobre todo, no es la herramienta correcta para el trabajo.
2) Montas un proxy como Squid y bloqueas los sitios relacionados con las actualizaciones. Totalmente viable y sencillo ya que son los siguientes (en notación de squid):
.windowsupdate.microsoft.com .update.microsoft.com .windowsupdate.com .download.microsoft.com .wustat.windows.com .ntservicepack.microsoft.com
3) Despliegas DNSMasq, haces que los clientes lo usen como DNS y creas entradas que apunten a otras páginas (p. ej. la de la organización), para los nombres de dominio completos relacionados con las actualizaciones. También funciona muy bien y sirve para bloquear dominios completos como facebook.
4) Desactivas las actualizaciones automáticas en las máquinas ya sea por política de dominio activo o de samba o lo haces en cada una.
Que hay opciones, las hay. El hecho es que el firewall (iptables) no es la herramienta adecuada para hacerlo.
Hasta la próxima.
Atte., Carlos Andrés Martínez
2013/12/31 Antonio Moreno<antonio@sorianatural.es>
Buenos dias y felices fiestas
Quisiera denegar por iptables las actualizaciones automaticas de microsoft, alguien podria decirme como hacerlo, he intentado denegar toda la pagina de microsoft, pero en principio me muestra la pagina.
La instruccion con la que he probado pero que no funciona es
iptables -t filter -D FORWARD -p tcp -d microsoft.com -j DROP
Alguien sabria decirme por que no funciona?
Muchas gracias y un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
______________________________________________________________________ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.
This email has been scanned by the Soria Natural Security System. _______________________________________________
-- Firmas de correo.com : Antonio Moreno Antonio Moreno /Dpto. Informatica/ Soria Natural S.A. Pol. La Sacea s/n 42162 Garray SORIA (SPAIN) Tlf: *+34 975 25 20 46* Fax: *+34 975 25 22 67* www.sorianatural.es <http://www.sorianatural.es> facebook <http://www.facebook.com/SoriaNatural.es> twitter <http://twitter.com/#%21/soriaNatural> Logo eco No me imprimas si no es necesario. Protejamos el medio ambiente ----------------------------- NOTA: Los signos de puntuacion y e~es han sido omitidos deliberadamente con el fin de soportar el maximo numero de clientes de correo --------------------------- La informacion incluida en el presente correo electronico es CONFIDENCIAL, siendo para el uso exclusivo del destinatario arriba mencionado. Si usted lee este mensaje y no es el destinatario se~alado, el empleado o el agente responsable de entregar el mensaje al destinatario, o ha recibido esta comunicacisn por error, le informamos que esta totalmente prohibida cualquier divulgacion, distribucion o reproduccion de esta comunicacion, y le rogamos que nos lo notifique, nos devuelva el mensaje original a la direccion arriba mencionada y borre el mensaje. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Antonio Moreno
-
Carlos E. R.
-
Carlos Martinez