Block Windows Updates
-
Hi,
Kurz zum Setting, meine pfSense ist version 2.3.2 mit squid als Cache bzw. Proxy. Wir sind eine WG mit 6 Personen und 6000er DSL.
Seit kurzem hat einer meiner Mitbewohner einen neuen Laptop mit Windoof 10. Seitdem er den hat ist jedesmal wenn Windows Updates bringt der komplette Traffic(UP&Down) mit den Updates Stundenlang belegt so das keiner mehr irgendwas im Netz machen kann, nicht mal mehr SSH Verbindungen sind möglich.
Laut ntopng kommen die Packete von der IP 13.107.4.50 und sagt auch dass das HTTP.WIndowsUpdate heist. Soweit so gut. Also erstmal versuchen zu blocken, limitieren geht anschließend recht einfach. Also habe ich eine entsprechende Regel bei Wan(Block ipv4 Protocol any Source 13.107.4.50 port * der Rest alles any bzw. *) erstellt ganz oben eingefügt. Das gleiche noch bei LAN nur Source und Destination vertauscht. Zur Sicherheit hab ich es noch als Bild angehängt.
Trotz der beiden Regeln lädt es weiter. Eigentlich müsste doch nachdem ich die Regeln aktiviert habe sofort der Traffic sinken oder sehe ich da was Falsch. Wie ihr auf dem Bild sehen könnt hat er heute schon knapp 3GB gezogen ihr könnt euch vorstellen wie genervt alle sind. Andererseits kann ich demjenigen ja nicht verbieten seine Laptop anzumachen bzw. nie Updates zu ziehen.
Könnt ihr mir helfen? Was mache ich Falsch?
Gruß n0|
-
Normalerweise arbeiten WIndows Updates nicht nur auf einer IP, deshalb würde mich stark wundern, wenn du das mit einer einzelnen IP und einer Regel erschlagen hättest. Allerdings bringt die Regel nichts, wenn der Channel schon offen ist und der State damit bestätigt. Du müsstest dann entweder einen state reset machen oder zumindest manuell alle States zu der 13.107er IP terminieren. Erst beim Neuaufbau wird die Block Regel dann greifen.
Gruß
-
Bei Windoof 10 scheint es als ob es wirklich nur eine IP ist. Ich habe vorhin extra alle Verbindungen durchgeschaut und es ist immer diese eine IP. Allerding bedient sich dieser Server dabei unterschiedlichster Ports, bei mir ca. 20-25 Ports. Zum Glück ist das Update jetzt durch trotzdem sind knapp 5GB echt nervend. Ich weis nicht was sich Microschrott dabei denkt aber ich finde es gruselig wenn ich mal an kleine Firmen denke mit nur 3000er SDSL und ohne WSUS Server, die sitzen ja Stunden ohne arbeiten zu können mal ganz abgesehen von dieser hirnrissigen p2p Updateverteilung ins WAN(lokale Verteilung ist allerdings eine sinnvolle Idee auch wenn ich da Sicherheitsbedenken habe).
Danke für deine Hilfe, ich hoffe beim nächsten Update greift das ganze.
-
Ansonsten wenn das auftritt das Logging der Regel anschalten und schauen ob geblockt wird. Zusätzlich dann einen Blick in die States werfen und schauen mit was sich die 13er IPs verbunden hat und sehen, ob das auf deine Filterregel trifft.
Grüße
