izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem]

Dan Lukes dan at obluda.cz
Sat Apr 18 08:52:52 CEST 2009


Richard Willmann napsal/wrote, On 04/18/09 03:12:
> Zakaznik sa ale jedneho dna zle zobudi
> objedna si rovnake sluzby u ineho poskytovatela 
> neciti potrebu o svojom rozhodnuti informovat stareho ISP.

> Ak ISP nema oddeleny autoritativny a caching only name server, bude 
> svojim zakaznikom - a to napriek zmenenej delegacii "o poschodie vyssie" 
> poskytovat informacie zo svojej zony napriek tomu, ze by uz nemal. 

Na overeni, jestli vsechny zony, pro ktere je muj konkretni DNS server 
serverem autoritativnim jsou na tento server take delegovany staci 
celkem jednoduchy script (jehoz srdcem bude dig +nssearch +aaonly ...). 
Takze jakepak "ISP nedozvi".

Tak jako tak bych jednou za cas podobnou kontrolu provadel (i s 
oddelenymi servery preci nechci na tom autoritativnim mit desitky zon, 
ktere na nem nejsou delegovane).

Doufam, ze neni nutne, abych pro SMTP argumentaci prakticky opakoval. 
Ten kontrolni script by byl, nakonec, velmi podobny.

  --------------------------

Tim ani nahodou nerikam, ze "reseni scriptem" je jedine spravne ci 
jedine mozne. Ja v zadnem pripade nepopiram, ze oddelene DNS a SMTP 
servery jsou moznym resenim konkretniho problemu. Jen rikam, ze

a) nikoliv jedinym
b) bez znalosti konkretni situace ani nelze rict, zda lepsim, tim spise 
nejlepsim

A to vubec nezminuju variantu, ze by (treba maly, vesnicky) ISP sluzbu 
"provoz autoritativniho nameserveru" svym zakaznikum vubec nenabizel a 
jedine zony, ktere by na takovem serveru byly by byly jeho vlastni.

Pripominam, ze na pocatku bylo velmi nekompromisni prohlaseni o tom, ze 
ISP, ktery nema oddelne servery ma v siti bordel.

A ja tyhle "hony na carodejnice" zalozene na jednoduchych, prostemu davu 
snadno pochopitelnych heslech (i kdyz verim, ze Richard to takhle 
nemyslel) nemam moc rad.


					Dan





More information about the Users-l mailing list