izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem]
Richard Willmann
mk7ygre33apsq23c at foo.sk
Sat Apr 18 23:30:57 CEST 2009
> Na overeni, jestli vsechny zony, pro ktere je muj konkretni DNS server
> serverem autoritativnim jsou na tento server take delegovany staci celkem
> jednoduchy script (jehoz srdcem bude dig +nssearch +aaonly ...). Takze
> jakepak "ISP nedozvi".
ano, toto je jedno z rieseni, ktore ma svoje "ale" (aspon z mojho pohladu aj
ked opat, moze byt pre niekoho akceptovatelne):
* nefunguje "automaticky" a "prirodzene" (ok, toto je taky poloargument),
* moze vzniknut "zmluvny problem". Zakaznik ti "plati za sluzbu zverejnenia
zony" a ty ju neposkytujes.
> Tak jako tak bych jednou za cas podobnou kontrolu provadel (i s oddelenymi
> servery preci nechci na tom autoritativnim mit desitky zon, ktere na nem
> nejsou delegovane).
my mame napriklad system nastaveny tak, ze kym zakaznik plati, zonu tam ma.
Bez ohladu na to, ci deleguje tak ako ma alebo nie (tj ci pouziva alebo
nie). Kontrolu delegacie vykonavame, ale jej vystupom je emailova
notifikacia zakaznika o "moznom probleme". Toto riesenie sme zvolili po
konzultacii s pravnikom a auditorom.
> Doufam, ze neni nutne, abych pro SMTP argumentaci prakticky opakoval. Ten
> kontrolni script by byl, nakonec, velmi podobny.
ano, oba problemy su viac menej rovnake.
> A to vubec nezminuju variantu, ze by (treba maly, vesnicky) ISP sluzbu
> "provoz autoritativniho nameserveru" svym zakaznikum vubec nenabizel a
> jedine zony, ktere by na takovem serveru byly by byly jeho vlastni.
uprimne, neviem aka je situacia v CR ale uplnou nahodou som v utorok riesil
podobny roblem s ISP s pomerne vyznamnym trhovym podielom na SK. Klasicky
neodsranili zonu a cast emailov sa zazracne a nepredvidatelne stracala. V
ociach zakaznika sme boli blbcami samozrejme v prvom momente my :) Toto je
este k tomu tak nestastna vec, ktora sa velmi tazko vysvetluje laikom. A
obcas sa tazko aj riesi ked na druhej strane - ISP - najdes namiesto cloveka
hlupaka, ktory sa ani nesnazi porozumiet.
> Pripominam, ze na pocatku bylo velmi nekompromisni prohlaseni o tom, ze
> ISP, ktery nema oddelne servery ma v siti bordel.
velmi sa mi paci tvoj postoj odmietajuci ciernobiele nazory na tuto ale aj
ine temy, avsak ked mam povedat zo svojich praktickych skusenosti, obvykle
to tak naozaj je... :)
> A ja tyhle "hony na carodejnice" zalozene na jednoduchych, prostemu davu
> snadno pochopitelnych heslech (i kdyz verim, ze Richard to takhle
> nemyslel) nemam moc rad.
S odmietanim ciernobieleho pohladu suhlasim ale v niektorych nazoroch som
zasadovejsi. Tu je to naozaj o skusenostiach z praxe. Viem, ze problem sa da
vyriesit viacerymi sposobmi. Mne sa vsak zda riesenie zalozene na izolacii
najcistejsie. To je ale vec pohladu.
Ked sme uz pri prikladoch z praxe. Len na pobavenie pritomnych... Jeden (nie
najmensi) zo slovenskych webhosterov zvysuje dva mesiace pred expiraciou
domeny TTL na zaznamoch na 2 tyzdne... Velka cast ludi meni poskytovatela
prave pri maturite domeny :)
rwi
More information about the Users-l
mailing list