ich möchte auf einen Homeserver per iptables den Datentransfer einschränken jedoch apt-get erlauben.
Die /etc/apt/sources.list sieht wie folgt aus:
Code: Alles auswählen
deb http://ftp.de.debian.org/debian/ stretch main
deb-src http://ftp.de.debian.org/debian/ stretch main
deb http://security.debian.org/debian-security stretch/updates main
deb-src http://security.debian.org/debian-security stretch/updates main
# stretch-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ stretch-updates main
deb-src http://ftp.de.debian.org/debian/ stretch-updates mai
Code: Alles auswählen
##Standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
## DNS Abfragen erlauben
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
##Antwort bei bereits aufgebauten Verbindungen erlauben
iptables -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
## apt-get update erlauben
iptables -A OUTPUT -p tcp -d ftp.de.debian.org --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d security.debian.org --dport 80 -j ACCEPT
Code: Alles auswählen
apt-get update
Ign:1 http://ftp.de.debian.org/debian stretch InRelease
OK:2 http://ftp.de.debian.org/debian stretch-updates InRelease
OK:3 http://ftp.de.debian.org/debian stretch Release
0% [Verbindung mit prod.debian.map.fastly.net (151.101.112.204)]
OK:5 http://security.debian.org/debian-security stretch/updates InRelease
Paketlisten werden gelesen... Fertig
Welche Ansätze gibt es dieses Problem zu lösen?
Eine vermutlich unschöne Lösung wäre, einfach folgende Regeln noch zu erstellen:
Code: Alles auswählen
iptables -A OUTPUT -p tcp -d prod.debian.map.fastly.net --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d dpvctowv9b08b.cloudfront.net --dport 80 -j ACCEPT