iptables: apt-get update

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

iptables: apt-get update

Beitrag von user18 » 21.05.2018 21:57:11

Hallo zusammen,

ich möchte auf einen Homeserver per iptables den Datentransfer einschränken jedoch apt-get erlauben.
Die /etc/apt/sources.list sieht wie folgt aus:

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ stretch main
deb-src http://ftp.de.debian.org/debian/ stretch main

deb http://security.debian.org/debian-security stretch/updates main
deb-src http://security.debian.org/debian-security stretch/updates main

# stretch-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ stretch-updates main
deb-src http://ftp.de.debian.org/debian/ stretch-updates mai
Somit würde ich folgende Regeln erstellen (ich hoffe, dass ich iptables grundsätzlich richtig verwende):

Code: Alles auswählen

##Standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

## DNS Abfragen erlauben
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

##Antwort bei bereits aufgebauten Verbindungen erlauben
iptables -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

## apt-get update erlauben
iptables -A OUTPUT -p tcp -d ftp.de.debian.org --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d security.debian.org --dport 80 -j ACCEPT

Code: Alles auswählen

apt-get update
Ign:1 http://ftp.de.debian.org/debian stretch InRelease
OK:2 http://ftp.de.debian.org/debian stretch-updates InRelease
OK:3 http://ftp.de.debian.org/debian stretch Release
0% [Verbindung mit prod.debian.map.fastly.net (151.101.112.204)]
OK:5 http://security.debian.org/debian-security stretch/updates InRelease
Paketlisten werden gelesen... Fertig
Ich vermute, dass dies damit zusammenhängt, dass security.debian.org auf ein CDN verweißt.
Welche Ansätze gibt es dieses Problem zu lösen?
Eine vermutlich unschöne Lösung wäre, einfach folgende Regeln noch zu erstellen:

Code: Alles auswählen

iptables -A OUTPUT -p tcp -d prod.debian.map.fastly.net --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d dpvctowv9b08b.cloudfront.net --dport 80 -j ACCEPT
Zuletzt geändert von user18 am 22.05.2018 00:28:35, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: iptables: apt-get update

Beitrag von MSfree » 21.05.2018 22:15:08

user18 hat geschrieben: ↑ zum Beitrag ↑
21.05.2018 21:57:11
Ich vermute, dass dies damit zusammenhängt, dass security.debian.org auf ein CDN verweißt.
Welche Ansätze gibt es dieses Problem zu lösen?
Ja, das liegt daran, daß ftp.debian.org per Load-Ballancing auf verschiedene Server verteilt wird.

1. Möglichkeit: du könntest einen Mirror nehmen, der nicht als CDN ausgelegt ist. Siehe Mirrorliste Debian Mirrorliste. Ein Mirrior an einer Uni oder FH ist praktisch immer ein dedizierter Host.

2. Möglichkeit: du könntest dir einen Proxy installieren, z.B. Squid. Dieser läuft mit einem eigenen Benutzer (in diesem Fall proxy), so daß man mit iptables eine Regel erstellen kann, die ausgehenden Verkehr für diesen Benutzer erlaubt:

Code: Alles auswählen

iptables -A OUTPUT -o $WAN  -m owner --uid-owner proxy -m state --state NEW -j ACCEPT
Allerdings muß man sich dann auch um die Konfiguration von Squid kümmern, der zwar sehr viele Möglichkeiten mit seinen ACLs bietet aber dadurch auch recht kompliziert werden kann.

user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Re: iptables: apt-get update

Beitrag von user18 » 21.05.2018 22:23:44

kann ich in /etc/apt/sources.list (siehe oben) einfach security.debian.org durch ftp.de.debian.org austauschen?

Code: Alles auswählen

deb http://ftp.de.debian.org/debian-security stretch/updates main
deb-src http://ftp.de.debian.org/debian-security stretch/updates main
Oder hätte dies irgendwelche negative Auswirkungen?
Irgenwas wird sich ja das Debian Team gedacht haben, dass trotz Auswahl bei der Installation von ftp.de.debian.org,
"security.debian.org" in der /etc/apt/sources.list eingetragen wird?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: iptables: apt-get update

Beitrag von MSfree » 21.05.2018 22:38:40

user18 hat geschrieben: ↑ zum Beitrag ↑
21.05.2018 22:23:44
kann ich in /etc/apt/sources.list (siehe oben) einfach security.debian.org durch ftp.de.debian.org austauschen?
Früher wurden Securitypatches nur über security.debian.org verteilt. Seit ein paar Jahren wird security.debian.org aber auch auf den Mirrors gespiegelt. Man kann also z.B. folgendes in die sources.list eintragen:

Code: Alles auswählen

deb http://debian.inf.tu-dresden.de/ stretch main
deb-src http://debian.inf.tu-dresden.de/ stretch main

deb http://debian.inf.tu-dresden.de/debian-security stretch/updates main
deb-src http://debian.inf.tu-dresden.de/debian-security stretch/updates main

deb http://debian.inf.tu-dresden.de/debian stretch-updates main
deb-src http://debian.inf.tu-dresden.de/debian stretch-updates main
und müßtest dann nur debian.inf.tu-dresden in deine iptables-Regeln einbauen.

user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Re: iptables: apt-get update

Beitrag von user18 » 21.05.2018 22:53:05

danke für die Erklärung. Was spricht gegen ftp.de.debian.org im Vergleich zu debian.inf.tu-dresden.de?
ftp.de.debian.org scheint auf eine IP aufzulösen, wenn ich das richtig sehe.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: iptables: apt-get update

Beitrag von MSfree » 21.05.2018 23:09:55

user18 hat geschrieben: ↑ zum Beitrag ↑
21.05.2018 22:53:05
Was spricht gegen ftp.de.debian.org im Vergleich zu debian.inf.tu-dresden.de?
Es spricht nichts gegen ftp.de.debian.org, ausser, daß der Server eventuell stärker frequentiert ist als die Uni/FH-Server. Ich hatte ja oben auch "z.B." geschrieben, also ein Beispiel zur Veranschaulichung :wink:

Antworten