Iptables & Windows Update

Support Debian
#1

Bonjour à tous,

J’ai mis en place un serveur proxy ( avec authentification ) et un firewall ( netfilter) sous Débian pour ma société. Cette solution fonctionne très bien cependant je n’arrive à autoriser les mises à jours de windows à travers netfilter.

Mon parc n’est composé que de machine Windows ce qui pose un gros problème de sécurité.

Par simplicité sur toutes les machines les parametres de proxy ne sont pas configurés dans internet explorer et les utilisateurs sont sous Firefox, ce qui me permet de ne pas avoir à configurer les parametre de proxy d’MSN par exemple et c’est la meme chose pour les Windows Update.

Les updates passent par la table FORWARD de netfilter je sais qu’elles se font via le port 80 et 443. J’ai essayé d’ouvrir le port 80 seulement vers le site update.microsoft.com mais ca ne marche pas : Lorsque je tape la commande iptables me convertit update.microsoft.com en adresse ip et ce n’est jamais la même adresse ip qui se trouve derrière le site update.microsoft.com

Je ne vois pas très bien quel autre méthode je pourrais utiliser pour contourner ce problème …

Merci d’avance

#2

exactement.

#3

Les serveurs de noms de microsoft sont curieux:

[quote]Server: ns1.msft.net
Address: 207.68.160.190#53

Name: ducon.lajoie.com
Address: 207.46.31.61
Name: ducon.lajoie.com
Address: 65.55.39.12
[/quote]

Tu peux éventuellement te limiter aux réseaux microsoft: 65.52.0.0/14 et 207.46.0.0/16

#4

[quote=“fran.b”]Les serveurs de noms de microsoft sont curieux:

[quote]Server: ns1.msft.net
Address: 207.68.160.190#53

Name: ducon.lajoie.com
Address: 207.46.31.61
Name: ducon.lajoie.com
Address: 65.55.39.12
[/quote]

Tu peux éventuellement te limiter aux réseaux microsoft: 65.52.0.0/14 et 207.46.0.0/16[/quote]

Je viens de tester cette solution qui malgré qu’elle autorise plus de site que prévu pouvait me convenir mais ça ne marche pas. j’arrive à me rendre sur le site update.microsoft.com/windowsupda … aspx?ln=fr mais la procédure de mises a jour échoue au bout de 10min

Je continue mes recherches …

#5

Trace le traffic pour voir où ça coince…

#6

Voila je viens de le faire et apparemment ça bloque sur l’adresse 87.248.211.217 ou 87.248.212.117

On se rapproche de la solution :smiley:

Tu sais comment je pourrais connaitre le range dans lequel ces adresses sont comprises ?

#7

inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2

Limelight Networks Inc.
2220 W. 14th Street
Tempe, Arizona 85281-6945
United States

est ce que tu vas devoir renseigner tous les miroirs ??
microsoft ne fournit il pas un systèmes de centralisation des mises à jours que tu pourrais installer sur ton reseau ?

#8

Parfait ca marche :smiley:

Donc les plages d’adresses sont :

65.52.0.0/14
207.46.0.0/16
87.248.192.0/19

Merci beaucoup pour votre aide :slightly_smiling:

#9

[quote=“thomas.leclerc”]inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2

Limelight Networks Inc.
2220 W. 14th Street
Tempe, Arizona 85281-6945
United States

est ce que tu vas devoir renseigner tous les miroirs ??
microsoft ne fournit il pas un systèmes de centralisation des mises à jours que tu pourrais installer sur ton reseau ?[/quote]
J’ai essayé de voir mais visiblement ça n’est pas prévu, leur système de DNS est curieux…

#10

non mais je sais que tu peux installer un serveur sur ton lan pour centraliser le telechargement des updates
du coup les rêgles du pare feu pourraient être un peu moins stricts et ne concerneraient qu’une seule machine en tant que source

j’ai eu le même problème pour filtrer les acces vers des serveurs pop / smtp de orange, ils sont plusieurs avec un mecanisme de RR des DNS, donc tu ne peux pas figer quelles adresses IP tu vas autoriser

et si demain merdosoft decide d’utiliser de nouveaux miroirs il faudra sans cesse modifier les rêgles du pare feu, jusqu’à ne plus s’y retrouver

peut être qu’un jour M$ comprendra le fonctionnement des apt update, apt-proxy, et des miroirs debian.

sinon je pense que selenae s’embete bien et devrait utiliser le proxy squid pour les mises à jour. ça sert bien à cela, que les pc ne sortent pas directement sur internet et gérer un cache.

#11

Effectivement le service WSUS de microsoft permet une centralisation des MAJ mais étant donné que je ne suis pas l’administrateur réseau principale je ne peux pas décider de l’installation de tel ou tel logiciel sur le serveur windows 2003 et apparement ce n’est pas a l’ordre du jour :frowning:

Et je me suis déja renseigné pour l’intégration des règles dans squid mais j’ai rencontré quelques problèmes vu que notre squid demande une authentification et que dans les parametres Windows on ne sait définir q’une IP et un port pour le proxy. Le programme Windows update se fait bloquer car il n’est pas prévu pour gerer cette authentification

Enfin cette solution me satisfait pour le moment tant que crosoft ne change pas ses ranges IP.

#12

[quote="Selenae"Enfin cette solution me satisfait pour le moment tant que crosoft ne change pas ses ranges IP.[/quote]

après tout tu as juste ouvert tes ports 80 et 443 vers quelques centaines de miliers d’adresses IP … du coup a quoi sert il d’avoir des regles sur le proxy ??

#13

N’exagérons rien, fais une trace des connexions et regardes le pourcentage à destination de ces sites qui ne soit pas des update microsoft, ça restera négligeable. Ces accès pourrait être limités pendant une période précise de la journée peut être…

#14

oui c’est ce que je pense faire frans.b