las actualizaciones de windows suelen ser un dolor de cabeza para los ISP, ya que ocupa el ancho de banda disponible del cliente y su conexión se nota lenta durante durante horas o días, lo que hace que los usuarios del ISP generen quejas y malos comentarios sobre el servicio del ISP.
Del lado del ISP también se sufre ya que el consumo se incrementa dejando poco disponible para navegación, pero esto tiene varios tipos de solución como bloquear estas conexiones, controlar su ancho de banda, priorizarlo.
En este ejemplo vamos a explicar como bloquearlo de manera profesional y sencilla.
SCRIPT BLOQUEO WINDOWS UPDATE
Primero vamos a explicar como funciona el scritpt por partes, es de vital importancia entender como funciona para su correcta implementación.
En el script se va identificar el trafico de 2 maneras, primero por Layer7 y segundo por conversión de dominios o URL a ip de servidores de actualizaciones de Windows.
Después de tener identificada estas conexiones se van a crear listas autogestionadas por el firewall, es decir se van a ir agregando las IP de estos servidores en una lista en Address List y luego vamos a hacer un drop general a esta lista.
PASO 1. Layer7
pegamos el codigo en la terminal de winbox.
PASO 2. Address List
pegamos el codigo en la terminal de winbox.
PASO 3. Filter
pegamos el codigo en la terminal de winbox.
La primera regla es un bloqueo para ataques DNS que ya vimos en hace algun tiempo en la pagina de Facebook. desde la segunda regla esta presente el bloqueo y autogestion de las ip y servidores a bloquear.
en la opcion in-interface cabe aclarar que deben escoger la LAN de su red ISP para que el script funcione correctamente, ya que de lo contrario caeran en las lista de Address List ip locales de la red ISP y estos clientes quedarian sin navegacion por el bloqueo.
Script Completo
/ip firewall layer7-protocol
add name=block-update-ms regexp=».(stats|ntservicepack|update|download|windowsupdate|v4.windowsupdate).(microsoft|windowsupdate)»
add name=block-update-msw regexp=».(wustat|ws|v4.windowsupdate.microsoft|windowsupdate.microsoft).(nsatc|windows|microsoft)»
add name=block-update-msw-10 regexp=»^.*((support|[a-z]{2,3}|sts|ws|urs|msitadfs.glbdns2|data|spynet2|spynetalt|datamart|telemetry|metaservices|social|feedback|search|choi\
ce|watson).(pre.footprintpredict|microsoft-hohm|microsoft))\\.com.*»/ip firewall address-list
add address=download.windowsupdate.com list=»WINDOWS UPDATE»
add address=windowsupdate.microsoft.com list=»WINDOWS UPDATE»
add address=www.update.microsoft.com list=»WINDOWS UPDATE»
add address=download.microsoft.com list=»WINDOWS UPDATE»
add address=wustat.windows.com list=»WINDOWS UPDATE»
add address=ntservicepack.microsoft.com list=»WINDOWS UPDATE»
add address=stats.microsoft.com list=»WINDOWS UPDATE»
add address=windowsupdate.com list=»WINDOWS UPDATE»/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=WAN2 protocol=udp
add action=drop chain=forward comment=»actualizaciones de windows» dst-address-list=»WINDOWS UPDATE»
add action=add-dst-to-address-list address-list=»WINDOWS UPDATE» address-list-timeout=none-dynamic chain=forward content=download.windowsupdate.com in-interface=\
Switch_LAN
add action=add-dst-to-address-list address-list=»WINDOWS UPDATE» address-list-timeout=none-dynamic chain=forward in-interface=Switch_LAN layer7-protocol=block-update-ms
add action=add-dst-to-address-list address-list=»WINDOWS UPDATE» address-list-timeout=none-dynamic chain=forward in-interface=Switch_LAN layer7-protocol=block-update-msw
add action=add-dst-to-address-list address-list=»WINDOWS UPDATE» address-list-timeout=none-dynamic chain=forward in-interface=Switch_LAN layer7-protocol=\
block-update-msw-10
Si este contenido gratuito fue de tu agrado puedes compartir este link en redes sociales o puedes dejarnos una recomendación en nuestra fanpage de Facebook