我们公司实施严格的防火墙政策,并将互联网上的地址列入白名单。
我的问题是:我需要获取标准 debian 更新包(cdn.debian.net 和 security.debian.org)的 IP 列表(或至少一个子网),因为我的防火墙不会启用基于 DNS 的规则。
由于 debian.net 和 debian.org 是高流量网站,它们的 IP 会随着一个请求而变化,我无法找到缩小范围的方法。
当这个问题解决之后,我需要确定哪些端口用于 apt-get,我假设使用了端口 80 上的 http,如果错误,请告诉我,如果可以的话,请指出有关它的资源。
提前致谢。
/etc/apt/sources.list:
deb http://cdn.debian.net/debian/ wheezy main
deb-src http://cdn.debian.net/debian/ wheezy main
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
deb http://cdn.debian.net/debian/ wheezy-updates main
deb-src http://cdn.debian.net/debian/ wheezy-updates main
然后我打开了我的 Ruby 控制台:
require 'socket'
100.times do
p IPSocket::getaddress('debian.net')
end
得到 3 个不同的结果:
200.17.202.197
128.31.0.62
140.211.15.34
对于 debian.org 来说也是一样,也得到了三个结果。
140.211.15.34
5.153.231.4
200.17.202.197
如果我希望 apt-get 正常运行,就必须在防火墙上创建至少 4 条输出规则。这就带来了我需要打开的 IP 范围的问题,是不是我的测试没有发现已使用的 IP?有什么方法可以确定吗?这些 IP 会随时更改吗?