Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Block Windows Updates

    Deutsch
    2
    4
    878
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      n0 last edited by

      Hi,

      Kurz zum Setting, meine pfSense ist version 2.3.2 mit squid als Cache bzw. Proxy. Wir sind eine WG mit 6 Personen und 6000er DSL.

      Seit kurzem hat einer meiner Mitbewohner einen neuen Laptop mit Windoof 10. Seitdem er den hat ist jedesmal wenn Windows Updates bringt der komplette Traffic(UP&Down) mit den Updates Stundenlang belegt so das keiner mehr irgendwas im Netz machen kann, nicht mal mehr SSH Verbindungen sind möglich.

      Laut ntopng kommen die Packete von der IP 13.107.4.50 und sagt auch dass das HTTP.WIndowsUpdate heist. Soweit so gut. Also erstmal versuchen zu blocken, limitieren geht anschließend recht einfach. Also habe ich eine entsprechende Regel bei Wan(Block ipv4 Protocol any Source 13.107.4.50 port * der Rest alles any bzw. *) erstellt ganz oben eingefügt. Das gleiche noch bei LAN nur Source und Destination vertauscht. Zur Sicherheit hab ich es noch als Bild angehängt.

      Trotz der beiden Regeln lädt es weiter. Eigentlich müsste doch nachdem ich die Regeln aktiviert habe sofort der Traffic sinken oder sehe ich da was Falsch. Wie ihr auf dem Bild sehen könnt hat er heute schon knapp 3GB gezogen ihr könnt euch vorstellen wie genervt alle sind. Andererseits kann ich demjenigen ja nicht verbieten seine Laptop anzumachen bzw. nie Updates zu ziehen.

      Könnt ihr mir helfen? Was mache ich Falsch?

      Gruß n0|





      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by

        Normalerweise arbeiten WIndows Updates nicht nur auf einer IP, deshalb würde mich stark wundern, wenn du das mit einer einzelnen IP und einer Regel erschlagen hättest. Allerdings bringt die Regel nichts, wenn der Channel schon offen ist und der State damit bestätigt. Du müsstest dann entweder einen state reset machen oder zumindest manuell alle States zu der 13.107er IP terminieren. Erst beim Neuaufbau wird die Block Regel dann greifen.

        Gruß

        1 Reply Last reply Reply Quote 0
        • N
          n0 last edited by

          Bei Windoof 10 scheint es als ob es wirklich nur eine IP ist. Ich habe vorhin extra alle Verbindungen durchgeschaut und es ist immer diese eine IP. Allerding bedient sich dieser Server dabei unterschiedlichster Ports, bei mir ca. 20-25 Ports. Zum Glück ist das Update jetzt durch trotzdem sind knapp 5GB echt nervend. Ich weis nicht was sich Microschrott dabei denkt aber ich finde es gruselig wenn ich mal an kleine Firmen denke mit nur 3000er SDSL und ohne WSUS Server, die sitzen ja Stunden ohne arbeiten zu können mal ganz abgesehen von dieser hirnrissigen p2p Updateverteilung ins WAN(lokale Verteilung ist allerdings eine sinnvolle Idee auch wenn ich da Sicherheitsbedenken habe).

          Danke für deine Hilfe, ich hoffe beim nächsten Update greift das ganze.

          1 Reply Last reply Reply Quote 0
          • JeGr
            JeGr LAYER 8 Moderator last edited by

            Ansonsten wenn das auftritt das Logging der Regel anschalten und schauen ob geblockt wird. Zusätzlich dann einen Blick in die States werfen und schauen mit was sich die 13er IPs verbunden hat und sehen, ob das auf deine Filterregel trifft.

            Grüße

            1 Reply Last reply Reply Quote 0
            • First post
              Last post

            Products

            • Platform Overview
            • TNSR
            • pfSense
            • Appliances

            Services

            • Training
            • Professional Services

            Support

            • Subscription Plans
            • Contact Support
            • Product Lifecycle
            • Documentation

            News

            • Media Coverage
            • Press
            • Events

            Resources

            • Blog
            • FAQ
            • Find a Partner
            • Resource Library
            • Security Information

            Company

            • About Us
            • Careers
            • Partners
            • Contact Us
            • Legal
            Our Mission

            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

            Subscribe to our Newsletter

            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

            © 2021 Rubicon Communications, LLC | Privacy Policy