+ Rispondi
Risultati da 1 a 9 su 9
  1. #1

    Iscritto dal
    07/05/2012
    Località
    Vicenza
    Messaggi
    1,396

    Traffic Shapers Fortigate 100D - Microsoft Updates

    Come da titolo vorrei impostare su un firewall Fortigate FG-100D il Traffic Shaping in modo da limitare la banda Microsoft Updates perchè mi sta saturando il download.

    Traffic Shapers Fortigate 100D - Microsoft Updates-fortigate1appmic.png

    Ho provato a seguire questa guida: FORTIGATE and Microsoft Windows Update - Spiceworks

    Non ho ben capito.. io ho creato i singoli oggetti FQND e li ho inseriti poi in un gruppo.

    Traffic Shapers Fortigate 100D - Microsoft Updates-fortigate2oggetti.png Traffic Shapers Fortigate 100D - Microsoft Updates-fortigate3descrz.png

    Devo fare una regola che va dalla WAN alla LAN giusto??

    Traffic Shapers Fortigate 100D - Microsoft Updates-fortigate4policy.png

    O dalla LAN alla WAN con destinazione il gruppo di oggetti fatto prima?
    Come servizi invece Windows Update dovrebbe usare le porte 80 e 443.

    Io ho creato una regola dalla LAN alla WAN che ha come destinazione il gruppo di oggetti FQDN, come servizio ho messo HTTP e HTTPS e ho impostato una regola con banda massima di 500Kb/s.
    Ultima modifica: 03-08-2015 alle 12:05, di denisdm91

  2. #2
    Leonardo
    Iscritto dal
    19/07/2013
    Messaggi
    4,005
    Se hai Windows 10 dai un'occhiata qua: Windows 10 - Ci siamo!

    Se poi vuoi limitare le risorse di WU in generale, allora non so come aiutarti, mi dispiace

  3. #3

    Iscritto dal
    07/05/2012
    Località
    Vicenza
    Messaggi
    1,396
    Quote Originariamente inviato da MentalBreach Visualizza il messaggio
    Se hai Windows 10 dai un'occhiata qua: Windows 10 - Ci siamo!

    Se poi vuoi limitare le risorse di WU in generale, allora non so come aiutarti, mi dispiace
    io devo limitare il traffico dal firewall per tutta la rete aziendale e per tutto il servizio Microsoft Update in generale.

  4. #4

    Iscritto dal
    26/05/2011
    Località
    Lugano, Svizzera
    Messaggi
    21,438
    Sono i client all'interno a connettersi verso i server microsoft all'esterno:

    http://windowsupdate.microsoft.com
    http://*.windowsupdate.microsoft.com
    https://*.windowsupdate.microsoft.com
    http://*.update.microsoft.com
    https://*.update.microsoft.com
    http://*.windowsupdate.com
    http://download.windowsupdate.com
    Microsoft Download Center
    http://*.download.windowsupdate.com
    http://wustat.windows.com
    http://ntservicepack.microsoft.com
    https://*.ws.microsoft.com
    http://*.ws.microsoft.com


    Sui servizi HTTP(+S)


    Mi aspetterei quindi una regola LAN->WAN per di fatto troncare fin dall'inizio la comunicazione da windows update verso i loro server.



    Non ricordo esattamente ma c'era anche in alcuni fortigate un servizio di blocco per applicazione (nel tuo caso, bloccheresti ms.windows.update come da primo screenshot).
    Forse era una licenza da acquistare separatamente.
    Verità #10 | Viva l'unto, reale o presunto

  5. #5

    Iscritto dal
    07/05/2012
    Località
    Vicenza
    Messaggi
    1,396
    Quote Originariamente inviato da MainThink Visualizza il messaggio
    Sono i client all'interno a connettersi verso i server microsoft all'esterno:

    http://windowsupdate.microsoft.com
    http://*.windowsupdate.microsoft.com
    https://*.windowsupdate.microsoft.com
    http://*.update.microsoft.com
    https://*.update.microsoft.com
    http://*.windowsupdate.com
    http://download.windowsupdate.com
    Microsoft Download Center
    http://*.download.windowsupdate.com
    http://wustat.windows.com
    http://ntservicepack.microsoft.com
    https://*.ws.microsoft.com
    http://*.ws.microsoft.com


    Sui servizi HTTP(+S)


    Mi aspetterei quindi una regola LAN->WAN per di fatto troncare fin dall'inizio la comunicazione da windows update verso i loro server.



    Non ricordo esattamente ma c'era anche in alcuni fortigate un servizio di blocco per applicazione (nel tuo caso, bloccheresti ms.windows.update come da primo screenshot).
    Forse era una licenza da acquistare separatamente.
    hanno le licenze per le applicazioni.

    se imposto una regola sull'applicazione update??
    Traffic Shapers Fortigate 100D - Microsoft Updates-fortifat.png

    poi la regola di shaping? devo impostare priorità alta?

    Traffic Shapers Fortigate 100D - Microsoft Updates-fg2.png
    per l'oggetto va bene così? o devo mettere anche http://

    Traffic Shapers Fortigate 100D - Microsoft Updates-ese.png
    Ultima modifica: 03-08-2015 alle 15:55, di denisdm91

  6. #6

    Iscritto dal
    26/05/2011
    Località
    Lugano, Svizzera
    Messaggi
    21,438
    Nel sottomenù "traffic shaping" del tuo primo screenshot cosa viene scritto?
    A occhio però vuoi fare una regola per l'applicazione ms.windows.update.


    Mi aspetterei a logica che tu possa fare un nuovo "application sensor" dove non hai tutte quelle categorie (che sono tutte) ma punti in modo speciale all'applicazione degli update microsoft.



    Comunque tutte queste cose ti devi mettere lì con calma e provarle, e leggere il manuale.
    Sono apparecchi complicati che fanno un sacco di cose, devi conoscerli relativamente molto bene per poter essere in grado di gestire anche eventuali problemi.
    A me fa piacere che vieni a chiedere su TechArena ma se devo essere sincero non so se è il posto giusto per imparare a fare quello che deduco far parte del tuo mestiere


    Io non posso essere d'aiuto su una cosa che non conosco, senza accesso al pannello d'amministrazione ma soprattutto... in più oltre al lavoro che faccio tutto il giorno tutti i giorni
    Su un firewall da migliaia di euro deve essere il produttore a darti tutto il supporto che ti serve, anche spiegarti quali sono le idee alla base di una certa funzionalità.
    Verità #10 | Viva l'unto, reale o presunto

  7. #7

    Iscritto dal
    05/09/2011
    Località
    Vicenza
    Messaggi
    8,372
    Ma dove cribbio lavori??

    Dopo che hai segato tutti gli update che fai?? Metti su un server Windows per gli update interni??

  8. #8

    Iscritto dal
    26/05/2011
    Località
    Lugano, Svizzera
    Messaggi
    21,438
    Più che bloccare può servire a limitare la banda.

    Se li si blocca bisogna per forza organizzare un wsus all'interno, sennò ciao
    Verità #10 | Viva l'unto, reale o presunto

  9. #9

    Iscritto dal
    07/05/2012
    Località
    Vicenza
    Messaggi
    1,396
    Quote Originariamente inviato da MainThink Visualizza il messaggio
    Più che bloccare può servire a limitare la banda.

    Se li si blocca bisogna per forza organizzare un wsus all'interno, sennò ciao
    Traffic Shapers Fortigate 100D - Microsoft Updates-traffic-shap.png

    in effetti, voglio limitare la banda allo specifico ms.windows.update! non bloccarla.. altrimenti dovrei usare un server di update interno (non mancherebbero in questa azienda )

    Comunque alla fine son riuscito, ho agito sull'application control, e ho creato una regola con priorità alta sul traffico da applicare alla policy dei pc aziendali, dove avevo già applicato delle restrizioni per quello che era il p2p, skype, ecc...ecc...

    adesso farò dei test per quel che riguarda la banda da permettergli.

    Il firewall lo ho installato e configurato, solo che sto problema non lo avevo mai avuto.
    Il cookbook della Fortinet infatti mi ha aiutato, pensavo di creare un post più interessante dei soliti e confrontarmi con voi


 

Autorizzazioni

  • Non puoi iniziare nuove discussioni
  • Non puoi rispondere alle discussioni
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
Powered by vBulletin™ Version 4.1.5
Copyright © 2019 vBulletin Solutions, Inc. All rights reserved
SEO by vBSEO ©2011, Crawlability, Inc.
Fuso orario: UTC +1, sono le 10:18.