security.debian.org 的 ufw 防火牆規則

管理http://security.debian.org的防火牆傳出連接規則白名單的實用方法是什麼（在預設情況下阻止所有傳出連接的伺服器上）？

我的理解是 security.debian.org 是多個鏡像 IP 的 CNAME，建議在防火牆規則中僅使用 IP 地址（而不是主機名）。

目前，當我發現它們時，我只需將新解析的 IP 添加到 security.debian.org 到我的防火牆 (ufw) 出站規則中。然而，這很麻煩，並且不允許自動 apt-get 更新。

任何人都可以提出更好的方法嗎？

PS：我發現以下頁面有些相關，但它沒有提供解決方案：http: //www.debian.org/doc/manuals/securing-debian-howto/ap-fw-security-update.en.html

真正的解決方案是檢查所有 DNS 解析操作。如果您可以讓（本地）DNS 伺服器（由受限系統使用）記錄所有活動，那麼您可以 grep 對 security.debian.org 的所有查詢，將結果與您的 IP 列表進行比較並更新防火牆以防萬一IP是新的。對於第一次連接嘗試來說，這可能不夠快，但應該不會引起問題。

另一種方法是配置此 FQDN 的靜態解析（在DNS 伺服器中/etc/hosts或在 DNS 伺服器中）並僅允許配置的地址。您有時會在外部解析此 FQDN 並在必要時更新本地配置。

引用自：https://unix.stackexchange.com/questions/78033