Updateserver einschränken
-
- Beiträge: 5
- Registriert: 04.05.2016 10:29:53
Updateserver einschränken
Hallo Forum,
meine iptables-Firewall schränkt die Zugriffe nach Extern ein. Automatische Updates u.ä. hingegen sollen nicht behindert werden.
Auffällig ist, dass es Zugriffe nach Extern nicht nur an die Server gem. /etc/apt/sources.list gibt, sondern dass der Debian-Server meist hunderte verschiedene Debian-Mirrors via Port 80 (!) ansurfen möchte.
Gibt es eine Möglichkeit dies einzuschränken? Welcher Dienst ist hierfür überhaupt verantwortlich automatisch die Mirrors abzuklappern? Zumal nicht erkennbar ist, dass relevante Updates durchgeführt werden. Was treibt Debian hier unter'm Deckel?
Weiß wer mit Faken auszuhelfen?
Gruß
Heiko
meine iptables-Firewall schränkt die Zugriffe nach Extern ein. Automatische Updates u.ä. hingegen sollen nicht behindert werden.
Auffällig ist, dass es Zugriffe nach Extern nicht nur an die Server gem. /etc/apt/sources.list gibt, sondern dass der Debian-Server meist hunderte verschiedene Debian-Mirrors via Port 80 (!) ansurfen möchte.
Gibt es eine Möglichkeit dies einzuschränken? Welcher Dienst ist hierfür überhaupt verantwortlich automatisch die Mirrors abzuklappern? Zumal nicht erkennbar ist, dass relevante Updates durchgeführt werden. Was treibt Debian hier unter'm Deckel?
Weiß wer mit Faken auszuhelfen?
Gruß
Heiko
Re: Updateserver einschränken
Deine Configs?
Die Glaskugel rät: Wahrscheinlich hast Du einen Hostnamen angegeben, der zu unterschiedlichen IPs aufgelöst werden kann. Einfachste Lösung: den Mirror in Deiner Nähe finden und Adresse direkt eintragen - geht solange gut bis sich da die IP ändert.
Das Port 80 genommen wird, ist übrigens ok, apt-get und co benutzen als Protokoll meist http und ftp. Auch das sollte ein Blick in die Config klären.
Die Glaskugel rät: Wahrscheinlich hast Du einen Hostnamen angegeben, der zu unterschiedlichen IPs aufgelöst werden kann. Einfachste Lösung: den Mirror in Deiner Nähe finden und Adresse direkt eintragen - geht solange gut bis sich da die IP ändert.
Das Port 80 genommen wird, ist übrigens ok, apt-get und co benutzen als Protokoll meist http und ftp. Auch das sollte ein Blick in die Config klären.
-
- Beiträge: 5
- Registriert: 04.05.2016 10:29:53
Re: Updateserver einschränken
Hallo,
Ich wollte sehr, sehr ungerne pauschal alle 432 Mirrors (https://www.debian.org/mirror/sponsors) whitelisten und zu wissen, was Debian unterm Deckel treibt.
deb-mir1.naitways.net
deb-mirror.de
debian-mirror.sakura.ne.jp
debian.cc.lehigh.edu
debian.gnu.gen.tr
debian.grena.ge
debian.lagis.at
debian.mirror.constant.com
debian.mirror.iphh.net
debian.mirror.lrz.de
debian.mirror.rafal.ca
debian.mirror.root.lu
debian.telecoms.bg
debian.tu-bs.de
debian.univ-lorraine.fr
debian.xtdv.net
debmirror.tuxis.nl
ftp-stud.hs-esslingen.de
ftp.de.debian.org
ftp.debian.org
ftp.fau.de
ftp.freenet.de
ftp.hawo.stw.uni-erlangen.de
ftp.stw-bonn.de
ftp.ticklers.org
ftp.tku.edu.tw
ftp.uni-kl.de
ftp.uni-stuttgart.de
ftp.us.debian.org
ftp2.de.debian.org
http.debian.net
mirror.as35701.net
mirror.as43289.net
mirror.dhakacom.com
mirror.isoc.org.il
mirror.iway.ch
mirror.kku.ac.th
mirror.lchost.net
mirror.mirohost.net
mirror.mythic-beasts.com
mirror.netcologne.de
mirror.network.kz
mirror.one.com
mirror.positive-internet.com
mirror.proserve.nl
mirror.sinavps.ch
mirror.unitedcolo.de
packages.debian.org
security.debian.org
Hat jemand eine Idee? Bzw auch gerne konkrete Infos?
Gruß
Heiko
Ich habe versucht der Sache in der Form auf den Grund zu gehen, als das ich das DNS-Resolving überwache und darüber eine Liste an Hostnames zusammen gestellt habe, auf die zugegriffen wird. Bislang ist mir völlig unklar welcher Dienst hier am Werkeln ist und woher er seine Hostnames bezieht, zumal diese nicht in /etc/apt/sources.list konfiguriert sind.eggy hat geschrieben:Deine Configs?
Die Glaskugel rät: Wahrscheinlich hast Du einen Hostnamen angegeben, der zu unterschiedlichen IPs aufgelöst werden kann. Einfachste Lösung: den Mirror in Deiner Nähe finden und Adresse direkt eintragen - geht solange gut bis sich da die IP ändert.
Ich wollte sehr, sehr ungerne pauschal alle 432 Mirrors (https://www.debian.org/mirror/sponsors) whitelisten und zu wissen, was Debian unterm Deckel treibt.
deb-mir1.naitways.net
deb-mirror.de
debian-mirror.sakura.ne.jp
debian.cc.lehigh.edu
debian.gnu.gen.tr
debian.grena.ge
debian.lagis.at
debian.mirror.constant.com
debian.mirror.iphh.net
debian.mirror.lrz.de
debian.mirror.rafal.ca
debian.mirror.root.lu
debian.telecoms.bg
debian.tu-bs.de
debian.univ-lorraine.fr
debian.xtdv.net
debmirror.tuxis.nl
ftp-stud.hs-esslingen.de
ftp.de.debian.org
ftp.debian.org
ftp.fau.de
ftp.freenet.de
ftp.hawo.stw.uni-erlangen.de
ftp.stw-bonn.de
ftp.ticklers.org
ftp.tku.edu.tw
ftp.uni-kl.de
ftp.uni-stuttgart.de
ftp.us.debian.org
ftp2.de.debian.org
http.debian.net
mirror.as35701.net
mirror.as43289.net
mirror.dhakacom.com
mirror.isoc.org.il
mirror.iway.ch
mirror.kku.ac.th
mirror.lchost.net
mirror.mirohost.net
mirror.mythic-beasts.com
mirror.netcologne.de
mirror.network.kz
mirror.one.com
mirror.positive-internet.com
mirror.proserve.nl
mirror.sinavps.ch
mirror.unitedcolo.de
packages.debian.org
security.debian.org
Hat jemand eine Idee? Bzw auch gerne konkrete Infos?
Gruß
Heiko
Re: Updateserver einschränken
Dazu müßte man wissen, was du in deiner /etc/apt/sources.list stehen hast.BiberPinguin hat geschrieben:Ich wollte sehr, sehr ungerne pauschal alle 432 Mirrors (https://www.debian.org/mirror/sponsors) whitelisten und zu wissen, was Debian unterm Deckel treibt.
-
- Beiträge: 5
- Registriert: 04.05.2016 10:29:53
Re: Updateserver einschränken
Hallo,
Gruß
Heiko
die ist gänzlich unspektakulär:MSfree hat geschrieben:Dazu müßte man wissen, was du in deiner /etc/apt/sources.list stehen hast.BiberPinguin hat geschrieben:Ich wollte sehr, sehr ungerne pauschal alle 432 Mirrors (https://www.debian.org/mirror/sponsors) whitelisten und zu wissen, was Debian unterm Deckel treibt.
Code: Alles auswählen
deb http://ftp.de.debian.org/debian wheezy main contrib non-free
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb http://ftp.debian.org/debian/ wheezy-backports main contrib non-free
Heiko
Re: Updateserver einschränken
nslookup liefert mir für die drei Server folgende Adresse:BiberPinguin hat geschrieben:die ist gänzlich unspektakulär:
Code: Alles auswählen
deb http://ftp.de.debian.org/debian wheezy main contrib non-free deb http://security.debian.org/ wheezy/updates main contrib non-free deb http://ftp.debian.org/debian/ wheezy-backports main contrib non-free
ftp.debian.org: 30.89.148.12
ftp.de.debian.org: 141.76.2.4
und drei IP-Adressen für security.debian.org
195.20.242.89, 212.211.132.32, 212.211.132.250 (Lastverteilung auf drei Server)
Eigentlich sollte es dann doch kein Problem sein, mit iptables entsprechende Regeln für die 5 Adressen zu erstellen.
-
- Beiträge: 5
- Registriert: 04.05.2016 10:29:53
Re: Updateserver einschränken
Hallo,
Das Problem ist, dass der Debian-Server auf eine Vielzahl hier nicht konfigurierte Mirror-Server zugreift. Hostname-Liste siehe oben.
Gruß
Heiko
nein, natürlich nicht. Das ist ja auch nicht das Problem.MSfree hat geschrieben:BiberPinguin hat geschrieben:die ist gänzlich unspektakulär:
Eigentlich sollte es dann doch kein Problem sein, mit iptables entsprechende Regeln für die 5 Adressen zu erstellen.
Das Problem ist, dass der Debian-Server auf eine Vielzahl hier nicht konfigurierte Mirror-Server zugreift. Hostname-Liste siehe oben.
Gruß
Heiko
Re: Updateserver einschränken
Ich weiß nicht, woran du es festmachst, daß dein Server auf sämtliche Mirrors zugreift. Meine Debiansysteme greifen nur auf die Mirrors zu, die in der /etc/apt/source.list angegeben sind.BiberPinguin hat geschrieben:Das Problem ist, dass der Debian-Server auf eine Vielzahl hier nicht konfigurierte Mirror-Server zugreift. Hostname-Liste siehe oben.
Dir steht jederzeit frei, einen anderen als den konfigurierten Mirror zu verwenden, von sich aus macht Debian das aber nicht, es wird also auch nicht auf die von die gelisteten Mirrors zugegriffen.
-
- Beiträge: 5
- Registriert: 04.05.2016 10:29:53
Re: Updateserver einschränken
Hallo,
Gruß
Heiko
Tja, und genau deshalb dieser Thread .....MSfree hat geschrieben: (...) nicht, es wird also auch nicht auf die von die gelisteten Mirrors zugegriffen.
Gruß
Heiko
Re: Updateserver einschränken
Was ist in /etc/apt/ noch drin? Irgendwas in /etc/apt/sources.list.d/ ?
Sonst mal dpkg -l *apt* laufen lassen, evtl springt Dir da ja was ins Auge.
Sonst mal dpkg -l *apt* laufen lassen, evtl springt Dir da ja was ins Auge.