Как разрешить только Windows Update через MikroTik для windows 10?

Question

[Kenny00]

Есть компьютер, который не входит в домен, и считается гостевым, стоит отдельно, сломался, просто принесли другой.
В помещении есть только Mikrotik 951G-2HnD, который отвечает за интернет.
Задача заблокировать любой трафик, кроме Windows Update и https://my.site.ru/

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

^.+(http://windowsupdate.microsoft.com|http://*.windowsupdate.microsoft.com|https://*.windowsupdate.microsoft.com|http://*.update.microsoft.com|https://*.update.microsoft.com|http://*.windowsupdate.com|http://download.windowsupdate.com|http://download.microsoft.com|http://*.download.windowsupdate.com|https://*my.site.ru).*$

Как решить данный вопрос? Без прокси. А если прокси, то так что бы не прописывать его на Windows.
Заблокировать весь Forward и разрешить только по регулярному.

Answer 1

[Кирилл Васильев]

Да есть такие траблы с динамическими именами, я бы поступил так в вашем случае.
Поднял на микротике прокси сервер(он идёт из коробки),
Фаерволом запретил весь трафик от данной машины в интернет (forward)
фаерволом запретил, доступ к проксе всем кроме, данного хоста (input)
На хосте явно прописал бы использовать прокси сервер.

прокси бы настроил по подобию

/ip proxy access
add dst-host=*.windowsupdate.com
add dst-host=*.update.microsoft.com
add dst-host=*.update.microsoft.com
add action=deny

То что вам надо, это задача не маршрутизатора, прокси сервера.

Comments

[Kenny00]

Да, конечно понятно что это Маршрутизатор, а задача для прокси.
Есть не большая проблема, ему не прописать прокси, образ сделан субподрядом, и менять на данный момент ничего не будут. Бюрократия.
Как можно сделать грамотно редирект на прокси?
Так будет работать? Просто забрали уже оборудование, не могу проверить.

/ip firewall nat
add action=redirect chain=dstnat dst-port=80, 8080, 443 protocol=tcp src-address=192.168.0.5 to-ports=3128

[Кирилл Васильев]

Kenny00, ип адрес получает по DHCP? можно подсунуть wpad через опции.
Вы пытаетесь сделать прозрачную прокси, для ssl работать не будет.

[Kenny00]

Кирилл Васильев, IP статический, но можно и по DHCP выдать.
То есть однозначно нужно прописывать на клиенте Proxy и никак по другому?
Windows Update ходят по https в основном.
Хотелось бы прозрачный прокси, у нас же NAT.

[rionnagel]

Кирилл Васильев, это решение бы проканало 10-15 лет назад... сейчас надо для этого делать подмену сертификата.

[Kenny00]

Кирилл Васильев , спасибо, в общем удалось договорится с аутсорсерами.
Заставили принудительно прописать прокси, на всех машинах.

[rionnagel]

Kenny00, Оно реально пашет на ssl, если прокси не прозрачный? Чувствую себя идиотом с набором кастыльных решений.

[Kenny00]

rionnagel, я все таки сделал как посоветовал Кирилл Васильев.
Windows Updates и https://my.site.ru открывается, по остальным просто не загружаются сайты (add action=deny), что нам и нужно. Задача решена через прокси, через L7 не получилось, да и по спецификации микротика там только первая "порция" пакетов ловится.
P.S.
Кстати потом через wpad подкинем в другом месте прокси, где так же пк аутсорсов. (https://blackdiver.net/it/linux/1134)

[rionnagel]

Kenny00, я тоже думаю по поводу wpad, но боюсь там может быть не так всё радужно.

Answer 2

[Ziptar]

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

- Помечаете через mangle соединения, соответствующие попыткам подключения этого компьютера к серверам windows update и нужному сайту на прероутинге либо на форварде, со снятой галкой passtrought
- В фаерволе на форварде разрешаете промаркированные таким образом соединения, и запрещаете все прочие для этого компьютера (не забыв разрешить dns и ntp, конечно)

Comments

[Kenny00]

Помечаю:
add action=accept chain=prerouting layer7-protocol="windows update " packet-mark=win_updates protocol=tcp src-address=192.168.0.5
Разрешаю:
add action=accept chain=forward comment="Allow Updates Mark" packet-mark=win_updates protocol=tcp src-address=192.168.0.5

Счетчики на этих правилах по нулям. Куда смотреть?

[Ziptar]

add action=accept chain=prerouting layer7-protocol="windows update " packet-mark=win_updates protocol=tcp src-address=192.168.0.5

/ip firewall mangle add action=mark-connection chain=prerouting layer7-protocol="windows update " new-connection-mark=win_updates protocol=tcp src-address=192.168.0.5 passthrough=no

P.S. в принципе, если проблемы с множеством хостов windows update, то достаточно layer7 указать windowsupdate.microsoft.com; он не требует строгого соответсвия - только частичное

[Kenny00]

Константин Антонов, все равно по нулям, не понимаю почему через это не проходит.
Вот тут всё считает байты/пакеты:
add action=accept chain=prerouting comment="NO MARK TRAFIC" connection-mark=no-mark dst-port=53 protocol=udp src-address=192.168.0.5
Пре роутинг же выполняется до forward? У меня в Mangle больше ничего нет.

[Ziptar]

Kenny00,
Вы в layer7 что пишете? Ту регулярку из вопроса? Она не будет работать примерно никогда. Во-первых, она составлена неправильно чисто синтаксически. Во-вторых, в трафике не фигурирует URL полностью. Всё, на что вы можете опираться в вашем случае - это заголовок host для http трафика, и SNI для https трафика. То есть, грубо говоря, на доменное имя.
Попробуйте так: /ip firewall layer7-protocol add name="windows update" regexp="windowsupdate\\.microsoft\\.com|my\\.site\\.ru"
(в итоге регулярка должна выглядеть как windowsupdate\.microsoft\.com|my\.site\.ru)

[Kenny00]

Константин Антонов, она точно верная, я попробовал как тут https://habr.com/ru/post/271707/
Оставил правило с MarkConnections , статистика пошла, то-есть отрабатывает.
Но windows update не хочет работать,((( при этом сайты из регулярки открываются все что логично.

^.+(http://windowsupdate.microsoft.com|http://*.windowsupdate.microsoft.com|https://*.windowsupdate.microsoft.com|http://*.update.microsoft.com|https://*.update.microsoft.com|http://*.windowsupdate.com|http://download.windowsupdate.com|http://download.microsoft.com|http://*.download.windowsupdate.com|http://test.stats.update.microsoft.com|http://ntservicepack.microsoft.com).*$

Answer 3

[Diman89]

Файрволлом на самом пк не вариант?

Comments

[Kenny00]

Нет, я бы не писал бы сюда)))

Answer 4

[rionnagel]

В Ip-firewall-address list с некоторых пор умеет понимать днс имена и динамически добавлять-убирать ip адреса, если меняются. На l7 вы нифига не сделаете white list, раз уж трафик https и заголовок зашифрован. В правиле, которым вы разрешаете ходить в интернеты во вкладке advanced есть dst. address list например. Если жрать проц будет сильно - добавляете маркировку пакетов, как написали выше.

Comments

[Kenny00]

Проблема в том, что у Майкрософт нет строгих DNS.
Например... https://*.windowsupdate.microsoft.com
*.домен - так нельзя.

По регулярке точно никак не сделать белый список для обновлений?

[rionnagel]

Совсем никак.
Разве нет? Вроде есть. Но это оставим разбираться вам).

Есть один вариант, но это грёбаный адовый кастыль. Планировщик + скрипт на микротике, который будет выдёргивать все A-записи, которые будут подходит под *.windowsupdate.microsoft.com и добавлять в white-list, даже те, которые уже блокировались (они ещё в dns-кеше и добавятся рано или поздно). Пример скрипта для 2х выражений.

:put [:resolve obnovlenie.com]
:put [:resolve blabla.windowsupdate.microsoft.com]

:foreach i in=[/ip dns cache all find where (name~"oblovlenie" || name~"windowsupdate") && (type="A") ] do={

:local tmpAddress [/ip dns cache get $i address];

delay delay-time=10ms

:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={

:local cacheName [/ip dns cache get $i name] ;

:log info ("added entry: $cacheName $tmpAddress");

/ip firewall address-list add address=$tmpAddress list=white_list comment=$cacheName;

}

}

Но если у вас через l7 получится как-то обязательно напишите как) Для меня этот вопрос очень актуальный тоже.

Ну и надо понимать, что днс-сервер в этом случае у вас микротик.

[rionnagel]

Есть вариант просто поднять wsus)))

[rionnagel]

poisons, да, возможно я немного ввел в заблуждение употребляя слово заголовок, вы правы.
И в своих выводах я тоже ошибался. Я сообразил почему так нельзя... l7 должен видеть что приходит и что уходит обязательно. Если всё заблочено, кроме определенных паттернов, то ему будет просто негде их искать). Хм... появилась пару идей по l7 вайтлисту, но проверить я их в ближайшее время не смогу(.

[Kenny00]

rionnagel, если не сложно, подскажите, что за мысли по L7 white list?
Можно ли через Proxy реализовать, который есть в микротике, и не кешировать страницы что бы не убивать флеш память?

[Kenny00]

rionnagel, нет, компьтеры Stand Alone(( сервер обновлений не получится...

[Kenny00]

rionnagel, По поводу DNS это не прокатит в любом случае, так как иногда идут переадресации на ACME Technologies сервера, а там всё динамически в плане DNS.

[rionnagel]

Kenny00, как бы нелепо не звучало, но надо пропустить трафик в обе стороны, чтобы его пропустить через вайт лист, который этот трафик пропустит))) Другое дело, что пропустить его надо по особенному, так чтобы этим нельзя было воспользоваться на клиенте... ну, не знаю... шейпером порезать возможно почти до 0, а как только будут находиться паттерны - бегать через другое правило или маркировать. Поэксперементировать пожалуй смогу только недели через 2-3.

[rionnagel]

Kenny00, не, прокси бесполезный. Хотя если страницы не https, то можно.
На ацме вроде пофиг, их доступность ни на что не влияет.