Update-Server -> Adressen?

mod3

Well-Known Member
Hallo zusammen,

wo finde ich denn, welche Update-Server mein System momentan verwendet? Also sowohl für freebsd-update, als auch für pkg.
Hintergrund: Habe eine Firewall vorgeschaltet, die ich gerne genauer konfigurieren möchte.
Gehe doch recht in der Annahme, dass nur http für die Updates verwendet wird?
 
Weil ich Paketfilter gerne so dicht wie möglich konfiguriere.
Außerdem ist ja http(s) immernoch eine potenzielle Schnittstelle für Schadsoftware nach außen.
 
FreeBSD nutzt ein CDN zum Ausliefern der Daten, die Zuordnung von Nutzern auf Server erfolgt per DNS. Sprich je nach Provider und dessen Routing bekommst du andere Server zurückgegeben. Die müssen nicht unbedingt geographisch nahe bei die sein, sondern aus Sicht der Netzwerktopologie. Außerdem spielt die aktuelle Last auf den Servern eine Rolle. "host download.freebsd.org" (das sind u.a. die Installationsimages, VM-Images und solche Dinge) gibt mir über meinen Telekom-Anschluss zu Hause z.B. diese Antwort:

Code:
download.freebsd.org is an alias for download.geo.freebsd.org.
download.geo.freebsd.org has address 213.138.116.78
download.geo.freebsd.org has IPv6 address 2001:41c8:112:8300::15:0
download.geo.freebsd.org mail is handled by 0 .

In der Firma über Versatel bekomme ich:

Code:
download.freebsd.org is an alias for download.geo.freebsd.org.
download.geo.freebsd.org has address 149.20.1.200
download.geo.freebsd.org has IPv6 address 2001:4f8:1:11::15:0
download.geo.freebsd.org mail is handled by 0 .

Es werden keine Listen veröffentlicht, welche Server Teil des CDN sind. Das ist auch gar nicht sinnvoll, einer der Vorteile eines CDN ist ja gerade, dass beliebig Server herausgehen und hineinkommen können.
 
Stimmt, die Idee finde ich auch gut!
Aber da BSD-Server und Firewall den selben I-Netzanschluss benutzen und die FW den lokalen DNS stellt...
Werde mal probieren, ob ich das konfiguriert bekomme ;)
Ist auch kein wahnsinnig wichtiges Muss, aber lokale Server sperre ich gern ein.
 
So ist es, medV2 ;-)

Leider hat's aber nicht geklappt, Paketlisten lassen sich nicht mehr aktualisieren...
 
Möglicherweise könntest du eine Fix IPAdresse per DNS oder etc/hosts festlegen und diese freigeben? Die Frage ist halt, wie stabil die IPs hinter dem CDN sind.
 
Ich habe fuer sowas auf meinem Router einen lokalen bind9 Nameserver laufen, der sich fuer das lokale Netz als autoritativer NS fuer die betreffende Zone ausgibt. Daneben lauft ein Cron Skript, welches regelmaessig die Adressen der Zielserver holt, damit den bind9 per ddns updated und die entsprechenden Routing Regeln (bei Dir waere das dann stattdessen Firewall) setzt. Wie oft das Skript laufen sollte haengt davon ab wie stabil die Adressen sind. 100% Verfuegbarkeit erreicht man damit aber auch nicht.
 
Moin zusammen!
Im Grunde habe ich genau das gemacht. Meine Firewall kann mit Aliases arbeiten, die automatisch geupdated werden. Genau deshalb hatte es mich so gewundert, dass es nicht funktioniert. Ich seh's aber doch richtig, dass ich die Adresse download.freebsd.org nutzen muss?
 
Das ist bei freebsd-update kein Problem, da funktioniert auch die passende Firewallregel.
Nur bei pkg update haut das nicht hin, weil ich die URLs nicht angezeigt bekomme.
 
Die URL steht in der /etc/pkg/FreeBSD.conf oder wenn du ein eigenes Repo konfiguriert hast in dessen Konfiguration. :)
 
Zurück
Oben