2016年01月27日
このエントリーをはてなブックマークに追加
お客様より、特定のPCについては、WindowsUpdateだけ許可したい。そのようにいわれました。
正直、他のいくつかの要望よりもこれについては、満たすことが難しい事を僕は知っていました。

理由は簡単です。WindowsUpdateのIPアドレスを開示していないことが原因です。
ファイアーウォールに設定しようがないのです。

いくつか調べても、それらしいサイトはでてきません。また出てきても、限られたIPアドレスしか表示されておらず、網羅されているとはいえませんでした。

最初のころ、FWのログを取って、アップデートをするときに都度許可するように設定していました。しかしそれではイタチごっこです。
一生懸命調べたら、なんとがとらぼさんのサイトで見つけることができました。

参考
Windows Update (Microsoft)フィルタ

ここで、手動のCIDRをFWの OUT 方向に当てることにしました。ポートはTCP/80

これで一部のIPはまだ漏れがあるようですが、ほとんど大丈夫な気がしています。もう少し様子をみてまた報告します。
※ちなみに今回拒否されてしまったIPは 91.228.166.16(Limelight Networks) でした。CDNなのでアクセスは問題ないと思われます。拒否の理由はいきなりこのIPからアクセスがあったので Established ではなかったためだと思われます。一応許可しちゃいました。


stock_value at 12:03│Comments(0)TrackBack(0)技術:2016年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔