Redirecionamento de atualizações do windows

jprrezende
(usa Debian)

Enviado em 02/06/2012 - 11:27h

Bom dia pessoal,

na empresa que trabalho criei em um servidor Windows 2008 um Windows Server Update Service (WSUS) e tenho outro servidor Linux (Debian Squeeze) que é o firewall e gateway. O servidor windows tem IP 10.0.0.2 e gostaria que todas as solicitações de atualizações dos clientes windows fossem redirecionada pelo firewal Linux para o WSUS 10.0.0.2. Tentei da seguinte forma:

tenho um script para criação do firewall e nele inclui o seguinte:

IPS=$(cat /etc/ips_winupdates)
for IP in $IPS;
do
$IPT -t nat -A PREROUTING -s $NETWORK -d $IP -p tcp --dport 80 -j DNAT --to 10.0.0.2:8530
done;


Após isso fiz um teste com um cliente e monitorei no WSUS com Wireshark, vi que os pacotes estão chegando até ele, entretanto o cliente não é atualizado, o Windows Update do cliente informa que não foi possível conectar ao Servidor de atualização.

Sei que existe uma forma de incluir no registro do windows algumas chaves para que o Windows Update busque no servidor 10.0.0.2, fiz e deu certo, o problema que muitas máquinas são de uso pessoal e gostaria de fazer isso através de redirecionamento no firewall.

Alguém sabe uma forma de fazer isso?

renato_pacheco
(usa Debian)

Enviado em 02/06/2012 - 14:02h

Vc não precisa fazer essas paradas. O certo é criar uma GPO na OU com atualização pro WSUS e incluir o usuário dentro dessa OU. Assim todo nego q logar na conta q tá dentro dessa OU, vai atualizar pelo WSUS. É necessário q o cliente esteja no domínio.

leandrosly
(usa Ubuntu)

Enviado em 18/09/2013 - 16:53h

Olá, jprrezende
É a primeira vez que participo do forum então espero não estar fazendo nada errado.
Estou tentando fazer a mesma coisa aqui onde trabalho pois apesar de já ter a GPO no AD que configura as estações para atualizarem via WSUS ainda acontece muito do pessoal da manutenção formatar o windows e fazer as atualizações antes de colocar no domínio além do caso de máquinas pessoais que consomem bastante a nossa banda.
A observação que gostaria de fazer quanto a essa tua regra é a seguinte: quando é feito um DNAT para a mesma rede da máquina de origem o servidor responde direto pra estação e não para o gateway e isso gera uma confusão. Vou tentar exemplificar pra facilitar:

Estação de origem: 10.0.0.1 (a máquina que pretende buscar a atualização)
Servidor WSUS: 10.0.0.2
Gateway: 10.0.0.254

O que acontece é que a estação pretende buscar as atualizações de um IP que não faz parte da rede, por exemplo 200.252.32.12, então esse pacote sai da estação com destino ao gateway que vai receber o pacote e executar o DNAT enviando o mesmo pro servidor WSUS dentro da rede local. Até aí tudo ok. Só que o pacote chega no WSUS com IP de origem sendo o 10.0.0.1 (da estação) e quando ele responde pra este IP, como está na própria rede dele, o pacote é enviado para a estação diretamente. Do ponto de vista da estação, ela enviou um pacote para o gateway, com destino a web, solicitando a atualização e recebe uma resposta de uma máquina interna da rede com a qual ela não tinha iniciado conexão nenhuma. Entende? Este é um dos motivos pelo qual temos que "mascarar" os pacotes que saem para a web, caso contrário os servidores da web responderiam para o IP da tua rede interna e os pacotes se perderiam.
Então, recomendo que faça um MASQUERADE ou um SNAT na chain POSTROUTING do teu firewall para forçar que teu WSUS responda para o gateway e só então o pacote volte para a estação.

Bueno, espero ter ajudado em alguma coisa apesar do post já ter bastante tempo online.

Abraço!