Bloquear windows update con iptables

Son muchos los administradores de redes que quieren bloquear las actualizaciones de windows para todos los usuarios de su red.

En las últimas versiones de Windows , Windows 8 y Windows 10 las actualizaciones se descargan en segundo plano sin interacción ninguna con el usuario y muchas veces el usuario desconoce esto. Mientras se esta realizando esta descarga se esta consumiendo un gran ancho de banda. Existe un método rápido para bloquear las actualizaciones de windows 10 en cada máquina con windows 8 o windows 10:

Inicio -> services.msc -> Buscar servicio ‘Windows Update’ -> Detener servicio y Deshabilitar.

En este manual vamos a ir mas allá y lo que vamos a hacer es bloquear las actualizaciones de windows pero para TODA NUESTRA RED.

 

Para ello necesitamos:

  • Máquina linux como router
  • Dnmasq instalado
  • Una regla de iptables para redirigir las peticiones DNS hacia dnsmasq

 

Con dnsmasq instalado lo único que tenemos que hacer es editar su archivo de configuración en /etc/dnsmasq.conf y añadir lo siguiente:

 

address=/download.microsoft.com/127.0.0.1
address=/windowsupdate.microsoft.com/127.0.0.1
address=/windowsupdate.windows.com/127.0.0.1
address=/update.microsoft.com/127.0.0.1
address=/update.windows.com/127.0.0.1
address=/crl.microsoft.com/127.0.0.1
address=/office.microsoft.com/127.0.0.1
address=/download.windowsupdate.com/127.0.0.1
address=/wustat.microsoft.com/127.0.0.1
address=/wustat.windows.com/127.0.0.1

expand-hosts

Guardamos los cambios en el archivo dnsmasq.conf y pasamos al siguiente paso.

 

2. Redirigir las peticiones DNS de nuestra red hacia dnsmasq:

iptables -t nat -A PREROUTING -i <INTERFAZ_LAN> -p udp –dport 53 -j DNAT –to <IP_LINUX_ROUTER>:53

Si tenemos un firewall con politica por defecto DROP, tendriamos que dar acceso al trafico del puerto 53, en ambos sentidos. Trafico de ida y de vuelta. Lo podemos hacer con las siguientes sencillas reglas iptables:

iptables -t filter -A INPUT -p tcp –dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp –sport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp –dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp –sport 53 -j ACCEPT

 

3. Reiniciar el servicio dnsmasq..

Ahora solo nos queda reiniciar el servidor dnsmasq y nuestro pequeño truco empezará a funcionar:

/etc/init.d/dnmasq restart

A partir de ahora, ninguna máquina en nuestra red con windows 8 o windows 10 podrá realizar una actualización y conseguiremos ahorrar un monton de ancho de banda que estas actualizaciones generan.

 

Share