Mquinas da rede sem internet mas com windowsUpdate

Dae galera, to tentando implementar o seguinte:

Minha rede toda trabalha com um servidor firewall, e cada estação tem seu proprio IP interno.

Algumas maquinas não devem ter acesso a NADA além da rede interna, MAS eu gostaria de deixar liberado o acesso ao windows update, para poder manter os PCs atualizados sempre, sem precisar ficar liberando o acesso para fazer isso.

Eu estou tentando fazer isso pelo firewall.. é a melhor maneira? Ou é mais facil usar o firewall pra dar um DROP no que não for www e usar o squid pra criar uma acl bloqueando tudo e liberando microsoft.com ?

Valeu!

Na minha opniao, usando o Squid pra liberar o Windows Update via ACLs

faça um proxy transparente para a rede da Microsoft.
e o resto você pode bloquear..

ou faça o proxy transparente e faça o bloqueio e a liberação de acesso apartir de ACL's.


Flw

8-)

Então, consegui fazer via ACL's , bloqeuando tudo e liberando apenas o windows update e o site de update do antivirus, ficou show.

Mas dai surgiu um problema, eu quero liberar uma faixa de portas que vou configurar nas maquinas para rodar um VNC, para podermos dar manutenção nas maquinas remotamente quando for algo simples...

Estou tentando isso:

portas_bl="5900:6000" #so um exemplo
for bl in `cat /etc/squid/blockeds`;do
$IPT -A FORWARD -s $bl -p tcp --dport $portas_bl -i eth0 -j ACCEPT
$IPT -A FORWARD -s $bl -p udp --dport $portas_bl -i eth0 -j ACCEPT
$IPT -A FORWARD -s $bl -j DROP
done

A ultima linha é a que efetivamente bloqueia tudo para os IPs pegos de "blockeds", mas ela ta ignorando as portas que abri na regra acima delas... e dai tentei isso:

$IPT -A FORWARD -s $bl -p tcp --dport ! $portas_bl -i eth0 -j DROP
#obqvio que adicionei a linha pra udp tbm

Daí funciona o VNC, mas na verdade é que dai funciona qualquer programa que nao use a porta 80 hehehe.. ou seja, ele nao ta bloqueando por porta dessa maneira...

Alguma sugestão?