• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Update-Server -> Adressen?

mod3

Active Member
Themenstarter #1
Hallo zusammen,

wo finde ich denn, welche Update-Server mein System momentan verwendet? Also sowohl für freebsd-update, als auch für pkg.
Hintergrund: Habe eine Firewall vorgeschaltet, die ich gerne genauer konfigurieren möchte.
Gehe doch recht in der Annahme, dass nur http für die Updates verwendet wird?
 

mod3

Active Member
Themenstarter #3
Weil ich Paketfilter gerne so dicht wie möglich konfiguriere.
Außerdem ist ja http(s) immernoch eine potenzielle Schnittstelle für Schadsoftware nach außen.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#5
FreeBSD nutzt ein CDN zum Ausliefern der Daten, die Zuordnung von Nutzern auf Server erfolgt per DNS. Sprich je nach Provider und dessen Routing bekommst du andere Server zurückgegeben. Die müssen nicht unbedingt geographisch nahe bei die sein, sondern aus Sicht der Netzwerktopologie. Außerdem spielt die aktuelle Last auf den Servern eine Rolle. "host download.freebsd.org" (das sind u.a. die Installationsimages, VM-Images und solche Dinge) gibt mir über meinen Telekom-Anschluss zu Hause z.B. diese Antwort:

Code:
download.freebsd.org is an alias for download.geo.freebsd.org.
download.geo.freebsd.org has address 213.138.116.78
download.geo.freebsd.org has IPv6 address 2001:41c8:112:8300::15:0
download.geo.freebsd.org mail is handled by 0 .
In der Firma über Versatel bekomme ich:

Code:
download.freebsd.org is an alias for download.geo.freebsd.org.
download.geo.freebsd.org has address 149.20.1.200
download.geo.freebsd.org has IPv6 address 2001:4f8:1:11::15:0
download.geo.freebsd.org mail is handled by 0 .
Es werden keine Listen veröffentlicht, welche Server Teil des CDN sind. Das ist auch gar nicht sinnvoll, einer der Vorteile eines CDN ist ja gerade, dass beliebig Server herausgehen und hineinkommen können.
 

mod3

Active Member
Themenstarter #6
Stimmt, die Idee finde ich auch gut!
Aber da BSD-Server und Firewall den selben I-Netzanschluss benutzen und die FW den lokalen DNS stellt...
Werde mal probieren, ob ich das konfiguriert bekomme ;)
Ist auch kein wahnsinnig wichtiges Muss, aber lokale Server sperre ich gern ein.
 

mod3

Active Member
Themenstarter #8
So ist es, medV2 ;-)

Leider hat's aber nicht geklappt, Paketlisten lassen sich nicht mehr aktualisieren...
 

medV2

Well-Known Member
#9
Möglicherweise könntest du eine Fix IPAdresse per DNS oder etc/hosts festlegen und diese freigeben? Die Frage ist halt, wie stabil die IPs hinter dem CDN sind.
 

Rosendoktor

Well-Known Member
#10
Ich habe fuer sowas auf meinem Router einen lokalen bind9 Nameserver laufen, der sich fuer das lokale Netz als autoritativer NS fuer die betreffende Zone ausgibt. Daneben lauft ein Cron Skript, welches regelmaessig die Adressen der Zielserver holt, damit den bind9 per ddns updated und die entsprechenden Routing Regeln (bei Dir waere das dann stattdessen Firewall) setzt. Wie oft das Skript laufen sollte haengt davon ab wie stabil die Adressen sind. 100% Verfuegbarkeit erreicht man damit aber auch nicht.
 

mod3

Active Member
Themenstarter #11
Moin zusammen!
Im Grunde habe ich genau das gemacht. Meine Firewall kann mit Aliases arbeiten, die automatisch geupdated werden. Genau deshalb hatte es mich so gewundert, dass es nicht funktioniert. Ich seh's aber doch richtig, dass ich die Adresse download.freebsd.org nutzen muss?
 

mod3

Active Member
Themenstarter #14
Das ist bei freebsd-update kein Problem, da funktioniert auch die passende Firewallregel.
Nur bei pkg update haut das nicht hin, weil ich die URLs nicht angezeigt bekomme.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#15
Die URL steht in der /etc/pkg/FreeBSD.conf oder wenn du ein eigenes Repo konfiguriert hast in dessen Konfiguration. :)