<div dir="ltr">Hello Brad,<div><br></div><div>Thanks for sharing that.</div><div><br></div><div>I have renewed faith in being able to safely run the newer generations of microsoft operating systems if needed with some more assurance towards blocking things like telemetry etc.</div><div><br></div><div>Out of curiosity, do you allow any of the windows VM's to auto-update? I would be interested in a targeted solution to block telemetry, and other "phone-home" mechanisms at a firewall level, while only allowing local or specific subnets as well as automatic updates somehow.</div><div> </div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 29, 2016 at 4:05 PM Brad Campbell <<a href="mailto:brad@fnarfbargle.com">brad@fnarfbargle.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">G'day All,<br class="gmail_msg">
<br class="gmail_msg">
For years now I've been running Windows in various VM's. These generally<br class="gmail_msg">
have access to the local network but are prevented from interacting with<br class="gmail_msg">
the world by blocking them at the firewall.<br class="gmail_msg">
<br class="gmail_msg">
This has the unfortunate side effect of apps trying to phone home, being<br class="gmail_msg">
able to resolve names but then eventually having connections time out.<br class="gmail_msg">
This is something I've not looked into but been progressively annoyed by<br class="gmail_msg">
as time passed.<br class="gmail_msg">
<br class="gmail_msg">
This afternoon I was sufficiently motivated to have a look at the<br class="gmail_msg">
problem and found that 99.9% of these are http or https requests that<br class="gmail_msg">
sit and time out. Having an apache server on the network already for<br class="gmail_msg">
mrtg and cacti, I did a transparent redirect on the VM traffic so<br class="gmail_msg">
anything http or https got redirected to the local apache server which<br class="gmail_msg">
quickly answered with a 404.<br class="gmail_msg">
<br class="gmail_msg">
This made _all_ the delays go away instantly and my applications are now<br class="gmail_msg">
much more responsive because they get an instant reply. As an added<br class="gmail_msg">
bonus for information, the apache logs give me the url's they are trying<br class="gmail_msg">
to contact.<br class="gmail_msg">
<br class="gmail_msg">
Of course I might have been able to do the same thing by rigging<br class="gmail_msg">
iptables to reject the connection rather than have it drop the packets,<br class="gmail_msg">
but this was quick, easy and worked.<br class="gmail_msg">
<br class="gmail_msg">
Regards,<br class="gmail_msg">
Brad<br class="gmail_msg">
_______________________________________________<br class="gmail_msg">
PLUG discussion list: <a href="mailto:plug@plug.org.au" class="gmail_msg" target="_blank">plug@plug.org.au</a><br class="gmail_msg">
<a href="http://lists.plug.org.au/mailman/listinfo/plug" rel="noreferrer" class="gmail_msg" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br class="gmail_msg">
Committee e-mail: <a href="mailto:committee@plug.org.au" class="gmail_msg" target="_blank">committee@plug.org.au</a><br class="gmail_msg">
PLUG Membership: <a href="http://www.plug.org.au/membership" rel="noreferrer" class="gmail_msg" target="_blank">http://www.plug.org.au/membership</a><br class="gmail_msg">
</blockquote></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr"><div><br></div><div>Kind Regards,</div><div><br></div><div><i>Dean Bergin</i>.</div><div><br></div></div></div>