Войти

Показать полную графическую версию : [решено] WSUS за шлюзом KWF


old_nick
21-10-2010, 17:16
Сервер с WSUS: Windows 2003 Server SP2, DC, WSUS v3.2.7600.226, LocalIP 192.168.1.200
Интернет-шлюз: Windows 2003 Server SP2, Kerio Winrote Firewall v6.6.0
На данный момент политика трафика на шлюзе такая:
53171
При таком раскладе все нормально работает.

Хочу настроить политику трафика таким образом, чтобы сервер с WSUS мог только скачивать обновления для WSUS, а больше в Интернет никуда вылезти не мог.
Согласно рекомендациям Microsoft (http://technet.microsoft.com/ru-ru/library/cc708602(WS.10).aspx) по настройке фаервола попробовал в KWF выше правила "Общий доступ в Интернет" добавить вот это:
53172

Теперь WSUS не может обновиться. В сведениях синхронизации говорит про ошибку HTTP:
WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера 65.55.25.60:443 в System.Net.HttpWebRequest.GetRequestStream(TransportContext& context) в System.Net.HttpWebRequest.GetRequestStream() в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig() в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS() в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

В логах KWF (Протоколы-filter) видно, что Kerio обрубает соединения с сервером Microsoft:
53173

Что я делаю не так?
Заранее благодарен за помощь.

cameron
21-10-2010, 17:24
Что я делаю не так?
Заранее благодарен за помощь. »
в логе KWF явно указаны IP адреса на которые ломится WSUS.
не смотря на то, что они не ресолсятся, я вам подскажу - это AKAMAI =)
http://ru.wikipedia.org/wiki/Akamai
поэтому вам придётся некоторое время поанализоровать логи и внести в список разрешённых адресов сети акамая.
советую добавлять их с маской /16, а не 24 =)

old_nick
22-10-2010, 14:41
cameron, спасибо за информацию. Стал разбираться - оказывается, и time.windows.com тоже завязано на AKAMAI.
не смотря на то, что они не ресолсятся »
Тут не совсем понял. Простите мою необразованность. Это от слова resolve? Вы имеете в виду, что при запросе домена по имени (скажем, microsoft.com) AKAMAI будет подсовывать постоянно меняющиеся IP-адреса?
А сколько анализировать придется? И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем?

cameron
22-10-2010, 14:51
Тут не совсем понял. Простите мою необразованность. Это от слова resolve? Вы имеете в виду, что при запросе домена по имени (скажем, microsoft.com) AKAMAI будет подсовывать постоянно меняющиеся IP-адреса? »
я имею ввиду что при попытке отресолвить IP адрес вы получите отсутствие записи.
А сколько анализировать придется? »
регулярно, как только увидите что WSUS перестал тянуть апдейты =)
И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем? »
нигде

old_nick
22-10-2010, 16:50
Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS...

cameron
22-10-2010, 21:38
Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS... »
ну потратить 5 минут два раза в месяц конечно не судьба..

old_nick
25-10-2010, 14:32
После анализа логов Kerio добавил в правило WSUS две подсети.
53381
Вроде все работает, в фильтре чисто.
Кстати, подсунув IP-адреса из этих логов (http://www.oszone.net/go.php?url=http://forum.oszone.net/attachment.php?attachmentid=53173&d=1287666775) сервису whois, увидел, что там ничего не сказано про AKAMAI, а принадлежат они организации IANA:


IP 65.55.184.26
IP Location: United States
Resolve Host: 65.55.184.26
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
source: RIPE # Filtered




IP 207.46.21.58
IP Location: United States
Resolve Host: 207.46.21.58
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
source: RIPE # Filtered

% Information related to '207.46.0.0/19AS8068'

route: 207.46.0.0/19
descr: Microsoft European IDCs
origin: AS8068
mnt-by: MICROSOFT-MAINT
source: RIPE # Filtered


cameron, большое спасибо за помощь!




© OSzone.net 2001-2012