+ Responder ao Tópico



  1. #1
    flep
    Visitante

    Padrão Mquinas da rede sem internet mas com windowsUpdate

    Dae galera, to tentando implementar o seguinte:

    Minha rede toda trabalha com um servidor firewall, e cada estação tem seu proprio IP interno.

    Algumas maquinas não devem ter acesso a NADA além da rede interna, MAS eu gostaria de deixar liberado o acesso ao windows update, para poder manter os PCs atualizados sempre, sem precisar ficar liberando o acesso para fazer isso.

    Eu estou tentando fazer isso pelo firewall.. é a melhor maneira? Ou é mais facil usar o firewall pra dar um DROP no que não for www e usar o squid pra criar uma acl bloqueando tudo e liberando microsoft.com ?

    Valeu!


  2. #2
    felco
    Visitante

    Padrão Re: Mquinas da rede sem internet mas com windowsUpdate

    Na minha opniao, usando o Squid pra liberar o Windows Update via ACLs



  3. #3
    uncoded
    Visitante

    Padrão Re: Mquinas da rede sem internet mas com windowsUpdate

    faça um proxy transparente para a rede da Microsoft.
    e o resto você pode bloquear..

    ou faça o proxy transparente e faça o bloqueio e a liberação de acesso apartir de ACL's.


    Flw

    8-)

  4. #4
    flep
    Visitante

    Padrão Re: Mquinas da rede sem internet mas com windowsUpdate

    Então, consegui fazer via ACL's , bloqeuando tudo e liberando apenas o windows update e o site de update do antivirus, ficou show.

    Mas dai surgiu um problema, eu quero liberar uma faixa de portas que vou configurar nas maquinas para rodar um VNC, para podermos dar manutenção nas maquinas remotamente quando for algo simples...

    Estou tentando isso:

    portas_bl="5900:6000" #so um exemplo
    for bl in `cat /etc/squid/blockeds`;do
    $IPT -A FORWARD -s $bl -p tcp --dport $portas_bl -i eth0 -j ACCEPT
    $IPT -A FORWARD -s $bl -p udp --dport $portas_bl -i eth0 -j ACCEPT
    $IPT -A FORWARD -s $bl -j DROP
    done

    A ultima linha é a que efetivamente bloqueia tudo para os IPs pegos de "blockeds", mas ela ta ignorando as portas que abri na regra acima delas... e dai tentei isso:

    $IPT -A FORWARD -s $bl -p tcp --dport ! $portas_bl -i eth0 -j DROP
    #obqvio que adicionei a linha pra udp tbm

    Daí funciona o VNC, mas na verdade é que dai funciona qualquer programa que nao use a porta 80 hehehe.. ou seja, ele nao ta bloqueando por porta dessa maneira...

    Alguma sugestão?