我正在为路由器构建一个 iptables 脚本,以阻止来自和到达后面机器的所有流量,除了一小部分主机/端口(RDP 传入、DNS 传出,...)。HTTP 和 HTTPS 被阻止。
Internet --- Router with iptables -+- Windows XP
|
+- Windows XP
.
.
不幸的是,由于 HTTP/S 被阻止,Windows 更新失败。我希望更新能够正常工作,并且阻止浏览。以下是我的想法:
- 设置 WSUS/Proxy -> 我认为规模过大,想节省另一台服务器
- 获取所有 Microsoft 更新服务器的列表 -> 有吗?
- 摆脱星号technet dns 名称列表以某种方式允许这些主机
- 也许有一种方法可以使用 Windows 防火墙进行 HTTP 过滤并通过服务进行分离(Win XP SP3)?
还有其他想法吗?也许有人已经解决了这个问题?你会推荐什么?
提前致谢
答案1
Christopher Wilson 在上面提供了一份非常好的 URL 列表。
我想补充一点,从长远来看,WSUS 可能不是什么大问题。如果目标是阻止互联网访问和浏览,您很可能仍需要定义路由器白名单。但是,实施 WSUS 的众多原因之一是通过仅下载一次更新来最大限度地减少对互联网连接的影响,更不用说它让您可以完全控制何时以及向客户端推送哪些更新。
如果您已经有一个数据库服务器,则将 WSUS 添加到现有服务器中并不是一件坏事,而且开销也不会太大,具体取决于您拥有的客户端数量。
我的建议基本上是,您可以利用 Chris 提供的列表来帮助制定您的阻止策略,同时还可以提高您的整体桌面维护能力,同时降低互联网带宽要求。
更新:将 Microsoft URL 列入白名单:
- windowsupdate.microsoft.com
- .update.microsoft.com
- 下载.windowsupdate.com
- redir.metaservices.microsoft.com
- images.metaservices.microsoft.com
- 微软
- www.download.windowsupdate.com
- wustat.windows.com
- crl.microsoft.com
- sls.microsoft.com
- productactivation.one.microsoft.com
- ntservicepack.microsoft.com