Solucion a Windows Update con Squid

Publicado por roxdng, Agosto 10, 2013, 12:57:46 PM

Tema anterior - Siguiente tema

roxdng

Foreros hace tiempo que el plugins de windows update esta fallando, por lo mismo vamos a forzar a squid a cachearlo.

Al grano, necesitamos modificar nuestro squid.conf

agregamos lo siguiente

range_offset_limit -1
quick_abort_min -1


esto fuerza a descargar las actualizaciones aun cuando el cliente se haya desconectado, como contra si poseemos un ancho de banda limitado lo saturara hasta que haya terminado la descarga. (esto se puede solucionar con un marcado y queue three dando prioridad baja)

maximum_object_size 200 MB

Necesitamos modificar el tamaño a cachear ya que algunas actualizaciones son superiores a 200 MB, por defecto viene con 30MB

refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims

refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims

refresh_pattern -i my.windowsupdate.website.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims


Ahora el refresh, forzamos a squid a cachear todo lo que salga de windows update, microsoft a cachear, también podemos agregar mas regex, actualizar etc.

acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain sls.microsoft.com
acl windowsupdate dstdomain productactivation.one.microsoft.com
acl windowsupdate dstdomain ntservicepack.microsoft.com

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com

http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet


Por ultimo agregamos las acl para los cuadros de avisos de actualizaciones, confirmaciones etc..

Espero que les sirva, en algunas redes que administro windows update consume alrededor del 15% de la banda ancha, por lo mismo esto no es menor, si lo ahorráramos.

tonyvzla

Gracias por el aporte amigo, pero no es mejor buscar corregir el windows update? o hay alguna contrariedad en corregir, yo tambien tengo esa falla del windows update, del google y avast ya que al llegar a varios dias de cacheo y hits como si se corrompieran sobre todo el de google chrmoe de una archivo le hace 2 veces hits y asi sucesivamente. Pero muy valioso tu aporte de verdad, saludos
En ayuda de los mas desprotegidos

roxdng

prefiero usar squid y tratarlo como material estático por la robustes de el mismo, squid bien tuneado o aun mejor luzca es una herramienta muy potente para administradores. con lo referente a chrome etc. haz una actualización y examina en caliente cual es el archivo que falla, una vez encontrado eliminalo de la bd y cache, después vuelves a descargar y así sucesivamente. Por lo general algún archivo corrupto es el que para las actualizaciones, lo eliminas vuelves a descargar y ya esta.

juliobrenis

Gracias por tu aporte lo voy a probar... es necesario deshabilitar el plugin del winows update y microsoft del raptor?

firecold

Cita de: juliobrenis en Noviembre 20, 2013, 07:26:47 AM
Gracias por tu aporte lo voy a probar... es necesario deshabilitar el plugin del winows update y microsoft del raptor?


Si definitivamente es necesario deshabilitar el plugin de windows update y microsoft y tambien en la regla de squid a continuacion:

#----------------------------------------------------------------------
# Sitios que se les niega el cache 
#----------------------------------------------------------------------
acl nocache dstdomain .4shared.com .youtube.com .windowsupdate.com .gl$
no_cache deny nocache


Hay que dejarla asi:

#----------------------------------------------------------------------
# Sitios que se les niega el cache 
#----------------------------------------------------------------------
acl nocache dstdomain .4shared.com .youtube.com .gl$
no_cache deny nocache


Ya que si no igual no la hara cache, Saludos

firecold

Cita de: roxdng en Agosto 10, 2013, 12:57:46 PM
Foreros hace tiempo que el plugins de windows update esta fallando, por lo mismo vamos a forzar a squid a cachearlo.

Al grano, necesitamos modificar nuestro squid.conf

agregamos lo siguiente

range_offset_limit -1
quick_abort_min -1


esto fuerza a descargar las actualizaciones aun cuando el cliente se haya desconectado, como contra si poseemos un ancho de banda limitado lo saturara hasta que haya terminado la descarga. (esto se puede solucionar con un marcado y queue three dando prioridad baja)

maximum_object_size 200 MB

Necesitamos modificar el tamaño a cachear ya que algunas actualizaciones son superiores a 200 MB, por defecto viene con 30MB

refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims

refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims

refresh_pattern -i my.windowsupdate.website.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims


Ahora el refresh, forzamos a squid a cachear todo lo que salga de windows update, microsoft a cachear, también podemos agregar mas regex, actualizar etc.

acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain sls.microsoft.com
acl windowsupdate dstdomain productactivation.one.microsoft.com
acl windowsupdate dstdomain ntservicepack.microsoft.com

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com

http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet


Por ultimo agregamos las acl para los cuadros de avisos de actualizaciones, confirmaciones etc..

Espero que les sirva, en algunas redes que administro windows update consume alrededor del 15% de la banda ancha, por lo mismo esto no es menor, si lo ahorráramos.

Solo cambiaria un poco los refresh patterns, de este modo:

refresh_pattern -i (.+\.||)microsoft.com/.*\.(cab|exe|dll|ms[i|u|f]|asf|wm[v|a]|dat|zip|iso|psf) 10080 100% 172800 reload-into-ims
refresh_pattern -i (.+\.||)windowsupdate.com/.*\.(cab|exe|dll|ms[i|u|f]|asf|wm[v|a]|dat|zip|iso|psf) 10080 100% 172800 reload-into-ims


Para aumentar el fortalecimiento y el cache de dicha regla, Saludos

centronick

Cita de: firecold en Noviembre 20, 2013, 05:53:34 PM
Solo cambiaria un poco los refresh patterns, de este modo:

refresh_pattern -i (.+\.||)microsoft.com/.*\.(cab|exe|dll|ms[i|u|f]|asf|wm[v|a]|dat|zip|iso|psf) 10080 100% 172800 reload-into-ims
refresh_pattern -i (.+\.||)windowsupdate.com/.*\.(cab|exe|dll|ms[i|u|f]|asf|wm[v|a]|dat|zip|iso|psf) 10080 100% 172800 reload-into-ims


Para aumentar el fortalecimiento y el cache de dicha regla, Saludos

Como colocaria esto y en que parte gracias

Nessa

Debo decir que un compañero implementó esas reglas en su red, y casi la colapsa por completo.

El problema está en que el squid empieza a bajar las actualizaciones de windows, y no para de descargar hasta que no este almacenada en caché, si ponemos un promedio de 100 usuarios, por 10 actualizaciones cada uno, tenemos un número significativo de actualizaciones, todas bajando por completo y a full velocidad en la red.

CitarCódigo: [Seleccionar]

range_offset_limit -1
quick_abort_min -1


esto fuerza a descargar las actualizaciones aun cuando el cliente se haya desconectado, como contra si poseemos un ancho de banda limitado lo saturara hasta que haya terminado la descarga. (esto se puede solucionar con un marcado y queue three dando prioridad baja)

La parte que está en negrita es muy muy importante, o tendremos al squid saturando por completo el ancho de banda al descargar las actualizaciones.

abcwarbot

Hola,

Como podria cuadrar este forzado de windows update en lusca..?



Saludos