2016年01月27日
Tweet
お客様より、特定のPCについては、WindowsUpdateだけ許可したい。そのようにいわれました。
正直、他のいくつかの要望よりもこれについては、満たすことが難しい事を僕は知っていました。
理由は簡単です。WindowsUpdateのIPアドレスを開示していないことが原因です。
ファイアーウォールに設定しようがないのです。
いくつか調べても、それらしいサイトはでてきません。また出てきても、限られたIPアドレスしか表示されておらず、網羅されているとはいえませんでした。
最初のころ、FWのログを取って、アップデートをするときに都度許可するように設定していました。しかしそれではイタチごっこです。
一生懸命調べたら、なんとがとらぼさんのサイトで見つけることができました。
参考
Windows Update (Microsoft)フィルタ
ここで、手動のCIDRをFWの OUT 方向に当てることにしました。ポートはTCP/80
これで一部のIPはまだ漏れがあるようですが、ほとんど大丈夫な気がしています。もう少し様子をみてまた報告します。
※ちなみに今回拒否されてしまったIPは 91.228.166.16(Limelight Networks) でした。CDNなのでアクセスは問題ないと思われます。拒否の理由はいきなりこのIPからアクセスがあったので Established ではなかったためだと思われます。一応許可しちゃいました。
正直、他のいくつかの要望よりもこれについては、満たすことが難しい事を僕は知っていました。
理由は簡単です。WindowsUpdateのIPアドレスを開示していないことが原因です。
ファイアーウォールに設定しようがないのです。
いくつか調べても、それらしいサイトはでてきません。また出てきても、限られたIPアドレスしか表示されておらず、網羅されているとはいえませんでした。
最初のころ、FWのログを取って、アップデートをするときに都度許可するように設定していました。しかしそれではイタチごっこです。
一生懸命調べたら、なんとがとらぼさんのサイトで見つけることができました。
参考
Windows Update (Microsoft)フィルタ
ここで、手動のCIDRをFWの OUT 方向に当てることにしました。ポートはTCP/80
これで一部のIPはまだ漏れがあるようですが、ほとんど大丈夫な気がしています。もう少し様子をみてまた報告します。
※ちなみに今回拒否されてしまったIPは 91.228.166.16(Limelight Networks) でした。CDNなのでアクセスは問題ないと思われます。拒否の理由はいきなりこのIPからアクセスがあったので Established ではなかったためだと思われます。一応許可しちゃいました。