Hi Daniel, On Fri, 21 Mar 2003 12:36:54 +0100 Daniel Golesny wrote:
>>> nur bei den DNS-Server muesste ich schon zwei haben (primaerer und >>> sekundaer), aber das wird wohl auch nicht recht klappen. >> Yup, laut deiner Grafik liegen sowohl prim. als auch sek. DNS im selben >> SubNet (hier ja sogar abgebildet auf ein und dieselbe Adresse ;-), das >> widerspricht afaik dem Sinn und Zweck des zweiten DNS und d�rfte auch >> nicht wirklich funktionieren. > Also, wie ich gerade erfahren habe kriege ich doch ein 8er Netz. > Das Problem ist also geloesst. Die beiden DNS packe ich dann vor die > Firewall. Kannst du sicherlich machen, aber mich w�rde interessieren, warum du zwei DNS, die sich _gegenseitig_ spiegeln, nebeneinander stellen willst??? Die Idee des Secondary-DNS ist, dass wenn der prim�re durch z.B. Netzausfall nicht erreichbar ist ein anderer, authorativer, DNS angesprochen werden kann. Diese Idee f�hrst du mit zwei DNS, von denen der eine nur Fallback f�r den andren sein soll, im selben Subnetz ad absurdum. Sicherlich k�nnte man argumentieren "aber wenn der prim�re ausf�llt, d.h. nicht durch Netzausfall sondern generell, ist ein zweiter da ... aber ich glaube wenn dein prim�rer DNS vor der Firewall ausf�llt macht's der zweite auch nicht mehr lange, denn wenn der Server an sich stabil ist, bleibt nur eine Attacke als Ursache ... Bleibt ausserdem noch die Frage, warum du _�berhaupt_ zwei DNS-Server haben willst?!? L��t du dann auch die beiden bei z.B. der Denic als prim�ren udn sekund�ren eintragen? Bietet dein ISP, wenn er dir schon ein 8-er Subnetz gibt, keine Service, dass du einen von seinen DNS als secondary verwendest? > Aber das Problem mit den Servern habe ich dann immernoch nicht geloesst. Mit den Webservern? Ich glaube wenn sie nach aussen auf die selbe IP h�ren sollen, musst du schon so etwas wie einen Squid oder �hnliches dazwischen h�ngen. Wie soll denn der Paketfilter bei einer Anfrage an: 1.2.3.4:80 entscheiden, ob das f�r den internen Webserver 1 (192.168.1.10) oder Webserver 2 (192.168.1.20) ist? Geht nicht. Und IPTABLES spricht kein 'HTTP', kann also einen evtl. 'Host:' Header nicht auswerten. Das wiederum aber kann z.B. 'Squid'. Nein, ein HowTo habe ich leider nicht zur Hand, aber ich denke auf der Squid-Seite sollte man f�r den Anfang f�ndig werden k�nnen :-) Ach ja ... der Apache hat ja auch ein 'mod_proxy' Modul ... vielleicht reicht ja also auch einfach ein dritter Indianer :-) Keine Ahnung nicht, aber evtl. meldet sich ja noch jemand hier auf der Liste der w��te wie's geht ... :-) -- Ciao, Pit -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
