Re: security-cdn.debian.org weigert me?

To: debian-user-dutch@lists.debian.org
Subject: Re: security-cdn.debian.org weigert me?
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Fri, 29 Sep 2017 11:38:27 +0200
Message-id: <[🔎] 9bea6187-3528-b4ce-2413-9b846ae4d399@vandervlis.nl>
In-reply-to: <[🔎] 20170928171734.GO21385@gpm.stappers.nl>
References: <[🔎] 31214992-9643-4052-41db-e8fac832dacd@vandervlis.nl> <[🔎] 20170927184120.GL21385@gpm.stappers.nl> <[🔎] d77c7809-7a5b-cb01-bd16-c77a100a75a7@vandervlis.nl> <[🔎] op.y69tz6175k9y7g@jessica.jkfloris.demon.nl> <[🔎] 74b646ec-29b6-5378-3a20-d8162e982a5c@vandervlis.nl> <[🔎] 20170928171734.GO21385@gpm.stappers.nl>

Op 28-09-17 om 19:17 schreef Geert Stappers:
> On Thu, Sep 28, 2017 at 01:22:44PM +0200, Paul van der Vlis wrote:
>> Op 28-09-17 om 12:27 schreef Floris:
>>> Waar verwijzen de guests naar?
>> security.debian.org verwijst daar ook naar villa.debian.org.
>>
>> Hmm, op de probleem-machine verwijst dit naar
>> mirror-conova-security.debian.org. En op een andere machine naar
>> wieck.debian.org. Blijkbaar verschilt dit.
>>
>> Maar de melding gaat niet over security.debian.org, maar om
>> security-cdn.debian.org, en dat verwijst naar
>> prod.debian.map.fastly.net. Zowel op de host als op de guests.
> 
> De host in kwestie, kan die wel bij andere webservers?
> 
>    curl http://stappers.it/t/
> 
> zou tijdstip en IP-adres ( v4 of v6 ) moeten laten zien.

Dit geeft een timeout.

Ik ben er ondertussen achter. De firewall accepteert alleen uitgaand
verkeer naar bepaalde hostnames, die hij regelmatig resolved. Echter als
een naam een CNAME is naar een andere naam, dan gaat het blijkbaar mis.

Eigenlijk vind ik het een heel goede zaak om alleen uitgaand verkeer toe
te staan naar een whitelist van hosts. Maar het heeft wel onderhoud
nodig...  Ik doe het met code zoals onderstaande, maar blijkbaar is dat
niet helemaal OK:

names="security.debian.org ftp.nl.debian.org popov.debian.org \
  popcon.debian.org ns1.vandervlis.nl ns2.vandervlis.nl"

ip4=""
for name in $names; do
   ip4="$ip4 `dig -t A +short $name | tr '\r \n' ' '`"
done
for ip in $ip4; do
  iptables -I OUTPUT -d $ip  -j ACCEPT
done

Nu ik security-cdn.debian.org heb toegevoegd lijkt het weer te werken.

Groeten,
Paul

-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Reply to:

Follow-Ups:
- Re: security-cdn.debian.org weigert me?
  - From: Richard Lucassen <mailinglists@lucassen.org>

References:
- security-cdn.debian.org weigert me?
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: security-cdn.debian.org weigert me?
  - From: Geert Stappers <stappers@stappers.nl>
- Re: security-cdn.debian.org weigert me?
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: security-cdn.debian.org weigert me?
  - From: Floris <jkfloris@dds.nl>
- Re: security-cdn.debian.org weigert me?
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: security-cdn.debian.org weigert me?
  - From: Geert Stappers <stappers@stappers.nl>

Prev by Date: Re: security-cdn.debian.org weigert me?
Next by Date: Re: security-cdn.debian.org weigert me?
Previous by thread: Re: security-cdn.debian.org weigert me?
Next by thread: Re: security-cdn.debian.org weigert me?
Index(es):
- Date
- Thread