Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » WSUS » [решено] WSUS за шлюзом KWF

Ответить
Настройки темы
[решено] WSUS за шлюзом KWF

Аватара для old_nick

Пользователь


Сообщения: 117
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: old_nick
Дата: 11-09-2012
Сервер с WSUS: Windows 2003 Server SP2, DC, WSUS v3.2.7600.226, LocalIP 192.168.1.200
Интернет-шлюз: Windows 2003 Server SP2, Kerio Winrote Firewall v6.6.0
На данный момент политика трафика на шлюзе такая:
Файл 53171
При таком раскладе все нормально работает.

Хочу настроить политику трафика таким образом, чтобы сервер с WSUS мог только скачивать обновления для WSUS, а больше в Интернет никуда вылезти не мог.
Согласно рекомендациям Microsoft по настройке фаервола попробовал в KWF выше правила "Общий доступ в Интернет" добавить вот это:
Файл 53172

Теперь WSUS не может обновиться. В сведениях синхронизации говорит про ошибку HTTP:
Код: Выделить весь код
WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера 65.55.25.60:443 в System.Net.HttpWebRequest.GetRequestStream(TransportContext& context) в System.Net.HttpWebRequest.GetRequestStream() в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig() в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS() в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)
В логах KWF (Протоколы-filter) видно, что Kerio обрубает соединения с сервером Microsoft:
Файл 53173

Что я делаю не так?
Заранее благодарен за помощь.

Отправлено: 17:16, 21-10-2010

 

Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата old_nick:
Что я делаю не так?
Заранее благодарен за помощь. »
в логе KWF явно указаны IP адреса на которые ломится WSUS.
не смотря на то, что они не ресолсятся, я вам подскажу - это AKAMAI
http://ru.wikipedia.org/wiki/Akamai
поэтому вам придётся некоторое время поанализоровать логи и внести в список разрешённых адресов сети акамая.
советую добавлять их с маской /16, а не 24

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:24, 21-10-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для old_nick

Пользователь


Сообщения: 117
Благодарности: 0

Профиль | Отправить PM | Цитировать


cameron, спасибо за информацию. Стал разбираться - оказывается, и time.windows.com тоже завязано на AKAMAI.
Цитата cameron:
не смотря на то, что они не ресолсятся »
Тут не совсем понял. Простите мою необразованность. Это от слова resolve? Вы имеете в виду, что при запросе домена по имени (скажем, microsoft.com) AKAMAI будет подсовывать постоянно меняющиеся IP-адреса?
А сколько анализировать придется? И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем?

Отправлено: 14:41, 22-10-2010 | #3


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата old_nick:
Тут не совсем понял. Простите мою необразованность. Это от слова resolve? Вы имеете в виду, что при запросе домена по имени (скажем, microsoft.com) AKAMAI будет подсовывать постоянно меняющиеся IP-адреса? »
я имею ввиду что при попытке отресолвить IP адрес вы получите отсутствие записи.
Цитата old_nick:
А сколько анализировать придется? »
регулярно, как только увидите что WSUS перестал тянуть апдейты
Цитата old_nick:
И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем? »
нигде

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 14:51, 22-10-2010 | #4


Аватара для old_nick

Пользователь


Сообщения: 117
Благодарности: 0

Профиль | Отправить PM | Цитировать


Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS...

Отправлено: 16:50, 22-10-2010 | #5


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата old_nick:
Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS... »
ну потратить 5 минут два раза в месяц конечно не судьба..

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 21:38, 22-10-2010 | #6


Аватара для old_nick

Пользователь


Сообщения: 117
Благодарности: 0

Профиль | Отправить PM | Цитировать


После анализа логов Kerio добавил в правило WSUS две подсети.
Файл 53381
Вроде все работает, в фильтре чисто.
Кстати, подсунув IP-адреса из этих логов сервису whois, увидел, что там ничего не сказано про AKAMAI, а принадлежат они организации IANA:

Код: Выделить весь код
IP	65.55.184.26
IP Location:	 United States
Resolve Host:	 65.55.184.26
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
source: RIPE # Filtered
Код: Выделить весь код
IP	207.46.21.58
IP Location:	 United States
Resolve Host:	 207.46.21.58
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
source: RIPE # Filtered

% Information related to '207.46.0.0/19AS8068'

route: 207.46.0.0/19
descr: Microsoft European IDCs
origin: AS8068
mnt-by: MICROSOFT-MAINT
source: RIPE # Filtered
cameron, большое спасибо за помощь!

Последний раз редактировалось old_nick, 11-09-2012 в 17:31.


Отправлено: 14:32, 25-10-2010 | #7



Компьютерный форум OSzone.net » Серверные продукты Microsoft » WSUS » [решено] WSUS за шлюзом KWF

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интернет - подсчет трафика в KWF 6.5.2 build 5172 zavoruev Защита компьютерных систем 0 22-03-2010 09:48
Kerio - Помогите настроить KWF WorF Сетевые технологии 2 13-08-2009 08:30
Route/Bridge - Проблема с шлюзом Styleismylife Сетевые технологии 7 23-09-2008 10:21
Redhat/Fedora - Проблемы со шлюзом stivy007 Общий по Linux 0 22-05-2008 12:33
Как настроить KWF на повторную авторизацю??? nikopol Сетевые технологии 4 27-09-2005 11:49




 
Переход