WINDOWS UPDATE NAO FUNCIONA [RESOLVIDO]

fomezero
(usa Debian)

Enviado em 11/08/2010 - 23:22h

OLA GALERINHA SOU INICIANTE NA AREA MAS ESTOU ME ACOSTUMANDO COM O LINUX
MAS O MEU PROBLEMA E O SEGUINTE
NAO SEI SE E REGRA DE SQUID OU DE IPTABLES
MAS TENHO UM SERVIDOR LINUX COM ALGUMAS REGRINHAS BASICAS SOH PRA APRENDER MSMO
MAS MEU PROBLEMA E O SEGUINTE
OS MICROS DA MINHA REDE NAO ESTAO ATUALIZANDO O UPDATE PELO SITE
E NTRA NA TELA E TUDO MAS SOH FICA VERIFICANDO AS ULTIMAS ATUALIZAÇOES E NAO SAI DESSA VERIFICAÇAO JA LI ALGUNS TUTORIAIS MAS TA DIFICIL INTENDER ALGUEM PODE ME DIZER OQ EU POSSO INCREMENTAR AS MINHAS REGRAS PARA QUE ISSO FUNCIONE ??


##### minhas regras abaixo ( squid )

# gedit /etc/squid3/squid.conf

#

# Autor: Pablo Fernando <f0mezero@hotmail.com>

#

# Licença: GPL - http://www.gnu.org/licenses/gpl.html

#

# Descrição: Arquivo de configuração do squid p/ autenticação em AD

#

####################################################################

http_port 192.168.50.1:3128

visible_hostname debian.informatica.local



hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY



cache_mem 128 MB

maximum_object_size_in_memory 512 KB

maximum_object_size 64 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 2048 16 256

error_directory /usr/share/squid3/errors/Portuguese/

dns_nameservers 192.168.50.3

cache_mgr f0mezero
@hotmail.com
coredump_dir /var/spool/squid3

external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl



##### LOGS

#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

#access_log /var/log/squid3/access.log combined

access_log /var/log/squid3/access.log

cache_log /var/log/squid3/cache.log

logfile_rotate 4



##### LOG DETALHADO SÓ HABILITEI PARA SOLUCIONAR PROBLEMAS

#logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

#logformat squidmime %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt [%>h] [%<h]

#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh

#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh



##### Inicio - Autenticacao no NTLM

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

acl AuthorizedUsers proxy_auth REQUIRED



##### ACLs Basicas



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl redelocal src 192.168.50.0/24

acl SSL_ports port 443 563 2083

acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



##### ACLs



##### Não faz cache das urls dentro do arquivo "/etc/squid3/acls/semcache"

# acl semcache dstdomain "/etc/squid3/acls/semcache"

# cache deny semcache



##### ACL usuarios sem autenticacao por IP

#acl noauth src "/etc/squid3/acls/noauth"



# acls de grupos do ad

acl administradores external nt_group administradores

acl administracao external nt_group administracao
acl siteusuarios external nt_group siteusuarios
acl seminternet external nt_group seminternet
acl commsn external nt_group commsn



# acl controlar sites

acl sites_deny dstdomain -i "/etc/squid3/acls/sites-proibidos"

acl sites_allow dstdomain -i "/etc/squid3/acls/sites-permitidos"

acl semmsn_deny dstdomain -i "/etc/squid3/acls/semmsn"

acl sitespadrao_allow dstdomain -i "/etc/squid3/acls/sitespadrao"

#acl

#acl

#acl

#acl

#acl

acl caixa dstdomain -i .caixa.gov.br



# acl controlar palavras de sexo, baixo calão, etc

acl palavras_deny url_regex -i "/etc/squid3/acls/palavras_deny"

acl palavras_allow url_regex -i "/etc/squid3/acls/palavras_allow"



# acl liberacao Windowsupdate

acl update dstdomain -i Windowsupdate.microsoft.com au.download.Windowsupdate.com



# acls de sites locais

acl sites_locais dst 192.168.50.0/24



#### HTTP ACCESS

# Libera acesso geral sem autenticação (controlados por ip)

#http_access allow noauth



# Libera acesso geral a diretoria


http_access allow administradores redelocal




# controle de acessos especiais(Windows Update, Caixa)

http_access allow update redelocal

http_access allow caixa redelocal

always_direct allow caixa redelocal



# Libera acesso a sites locais para a rede local

http_access allow sites_locais redelocal



# controle de acesso de sites proibidos

http_access deny sites_deny !sites_allow



# controle de acesso da acl de palavras de sexo, baixo calão, etc

http_access deny palavras_deny !palavras_allow



# controle por grupos ad


http_access allow administracao redelocal
http_access deny siteusuarios all !sitespadrao_allow
http_access deny seminternet all redelocal




# Libera acesso aos usuarios autenticados na rede local

http_access allow AuthorizedUsers redelocal



# Nega o restante

http_access deny all




####### IPTABLES REGRAS BEM BESICAS SOH DE REPASSE MSMO

# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (Redireciona para o squid) - eth0 -> Placa de rede da intranet
#********************************************************
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
# Compartilha Internet - eth0 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward




LEMBRANDO QUE EU ENTRO NOS SITES PELO ADMINISTRADOR
E TODOS OS SITES ESTAO FUNCIONANDO CORRETAMENTE NAO COLOQUEI BLOQUEIO NENHUM A ELE
NENHUMA REGRA DE DENY

E GOSTARIA TB SE ALGUEM PUDESSE COLOCAR REGRA DE CACHE DO WINDOWS UPDATE TB SERIA BOM

OBRIGADO

dastyler
(usa Fedora)

Enviado em 11/08/2010 - 23:41h

Desative o squid e o nat correspondente a porta 3128 e desabilite o proxy nos clients e faça o teste para ver se funciona.
Se funcionar, o problema esta no seu Squid. Entao habilite o site do windows update numa acl antes de qualquer regra e libere o site.

albfneto
(usa openSUSE)

Enviado em 11/08/2010 - 23:50h

uma dica, por favor, não faça os posts em maiúsculas, pode haver pessoas que não gostem, é o mesmo que gritar.

fomezero
(usa Debian)

Enviado em 12/08/2010 - 14:48h

pq as minhas regras estao erradas ??? pq tipow direto pelo rotiador funciona atualiza normalmente mas pelo meu Linux acontesce isso que sitei tipow eu sei que o problema esta no meu squid e no meu iptables mas ai que ta gostaria de saber aonde esta o erro e como posso resolver o meu problema para os micros da minha rede atualizar o Update e Tb se for possivel fazer um cache do update para um melhor desempenho da rede e de correçoes de problemas do windows

se alguem puder me ajudar detalhadamente seria muito bom Obrigado estarei no aguardo de nova resposta de ajuda

segue no topo as minhas regras de configuração

dastyler
(usa Fedora)

Enviado em 12/08/2010 - 14:53h

Desabilitando o Squid conforme expliquei acima e deixando apenas o iptables funcionou?

[]´s

dastyler
(usa Fedora)

Enviado em 12/08/2010 - 21:27h

Olá Pablo,

Voce tem esta regra aqui:

acl update dstdomain -i Windowsupdate.microsoft.com au.download.Windowsupdate.com

Altere para:

acl windowsupdate dstdomain -i "/etc/squid/windows_update"

Dentro do arquivo citado na acl, coloque:

windowsupdate.microsoft.com
update.microsoft.com


No http_access, mude:

http_access allow update redelocal

http_access allow windowsupdate

Depois disso, recarregue o squid com squid -k reconfigure

Uma observação: coloque este http_access ANTES de qualquer outra regra de bloqueio (deny).

Espero ter ajudado...

[]'s

fomezero
(usa Debian)

Enviado em 12/08/2010 - 21:31h

VLW VO TESTAR E DEPOIS FALO VO TI MANDAR UMA MSG PRIVADA