我正在为路由器构建一个 iptables 脚本,以阻止所有进出后面机器的流量,除了一小部分主机/端口(RDP 传入、DNS 传出,...)。HTTP 和 HTTPS 被阻止。
Internet --- Router with iptables -+- Windows XP
|
+- Windows XP
.
.
不幸的是,由于 HTTP/S 被阻止,Windows 更新失败了。我希望更新正常运行并阻止浏览。这些是我的想法:
- 设置 WSUS/代理 -> 我认为超大,想备用另一台服务器
- 获取所有 Microsoft 更新服务器的列表 -> 有吗?
- 以某种方式摆脱technet dns 名称列表的星号并允许这些主机
- 也许是一种使用 Windows 防火墙进行 HTTP 过滤并按服务分开的方法 (Win XP SP3)?
还有其他想法吗?也许有人已经解决了这种情况?你会推荐什么?
提前致谢
Christopher Wilson 在上面提供了一个很好的 URL 列表。
我要补充一点,从长远来看,WSUS 可能不是什么大问题。如果目标是阻止互联网访问和冲浪,您很可能仍然需要定义路由器白名单。但是,实施 WSUS 的众多原因之一是通过仅下载一次更新来最大限度地减少对 Internet 连接的影响,更不用说它让您最终控制何时以及将哪些更新推送到客户端。
如果您已经有一个数据库服务器,将 WSUS 添加到现有的盒子中还不错,而且开销也不会太大,具体取决于您拥有的客户端数量。
我的建议基本上是您可以利用 Chris 提供的列表来帮助构建您的阻止策略,同时提高您的整体桌面维护能力,同时降低互联网带宽需求。
更新: Microsoft URL 到白名单: