Hi Daniel, On Fri, 21 Mar 2003 16:03:14 +0100 Daniel Golesny wrote:
>> Diese Idee f�hrst du mit zwei DNS, von denen der eine nur Fallback >> f�r den andren sein soll, im selben Subnetz ad absurdum. > Mmmh, ja stimmt auch wieder. Dann werde ich das so einrichten, dass der > ISP (wie du vorgeschlagen hast) den Secundaery DNS einrichtet und die > Daten immer von dem primaeren runterzieht. Macht der Secondary automagisch. Der ISP muss die Domain in seinem DNS nur als "slave" kennzeichnen und du must selbigen im ZONE-File als NS eingetragen haben und dann schickt dein DNS bei �nderungen im ZONE-File automatisch eine Nachricht an alle eingetragenen Secondaries die dann ihrerseits alleine angerannt kommen und ihre Daten aktualisieren ... vorausgesetzt du hast ihnen den ZONE-Transfer (AXFR) nicht verboten :-) >> aber ich glaube wenn dein prim�rer DNS vor der Firewall ausf�llt macht's >> der zweite auch nicht mehr lange, denn wenn der Server an sich stabil >> ist, bleibt nur eine Attacke als Ursache ... > Ja, ist schon richtig. Es kann entweder eine Attacke oder > Hardware-Defekt sein. Wobei zweiteres wesentlich seltener sein sollte als eine Attacke :-) >> Bleibt ausserdem noch die Frage, warum du _�berhaupt_ zwei DNS-Server >> haben willst?!? L��t du dann auch die beiden bei z.B. der Denic als >> prim�ren udn sekund�ren eintragen? Bietet dein ISP, wenn er dir schon >> ein 8-er Subnetz gibt, keine Service, dass du einen von seinen DNS als >> secondary verwendest? > Ich kann das machen, wie ich moechte. Natuerlich ist es besser, die DNS > zu trennen und das ist hiermit in mein so langsam werdendes Konzept > aufgenommen :-) Ist auch sinnvoll, denn wenn wirklich "nur" ein Hardwaredefekt den P-DNS lahm legt hast du die Fallback-L�sung, und _zus�tzlich_ bei einem Netzausfall eben auch. Beide nebeneinander w�rde nur Fall 1) abdecken :-) >>> Aber das Problem mit den Servern habe ich dann immernoch nicht geloesst. >> Mit den Webservern? >> Ich glaube wenn sie nach aussen auf die selbe IP h�ren sollen, musst du >> schon so etwas wie einen Squid oder �hnliches dazwischen h�ngen. Wie >> soll denn der Paketfilter bei einer Anfrage an: >> >> 1.2.3.4:80 > Ja, genau deswegen frage ich ja, ob es da eine Moeglichkeit gibt. > Aber ich will eigentlich sowieso nur einen Service pro Rechner haben und > wenn es nicht anders geht, dann kann ich wenigstens vor meinem Chef > gut argumentieren :-) Also du k�nntest, terroristisch, schon auf einer Maschine HTTP und SMTP fahren und das mit IPTABLES differenziert betrachten. Du kannst nur eben nicht zwei interne HTTPs auf eine �ffentliche IP-Adresse abbilden, ohne so etwas wie Squid o.�. ins Spiel zu bringen. Also pro Rechner '>1 Service' ist OK, aber 'x Recher f�r einen Service' kannst du schlecht nach aussen (ausserhalb des G�ltigkeitsbereiches deiner privaten IPs) kommunizieren :-) 30 Webserver in deinem LAN �ber eine IP nach draussen kommuniziert wirken nach draussen auch erst einmal wie _ein_ Webserver. >> entscheiden, ob das f�r den internen Webserver 1 (192.168.1.10) oder >> Webserver 2 (192.168.1.20) ist? Geht nicht. Und IPTABLES spricht kein > Das habe ich mir irgendwie schon gedacht. >> 'HTTP', kann also einen evtl. 'Host:' Header nicht auswerten. Das >> wiederum aber kann z.B. 'Squid'. > Ach ne, das mache ich nicht. Ich beschraenke mich auf einen Service, > fertig. Das muss reichen. "M�ssen" gibts da nicht :-) Wenn's mal nicht mehr reicht stehst du im Regen. Aber unabh�ngig davon schriebst du in einer anderen Mail was von skalieren ... Da solltest du dann jetzt schon mit anfangen. Die Webserver kannst du �ber einen Squid skalieren (vorausgesetzt die Datentranfermenge aller Webserver zusammen �bersteigt nicht irgendwann die Durchsatzleistung des Proxys). Problematischer wird's wenn du evtl. noch andere Dienst, wie SMTP oder POP3 "skalieren" m�chtest. Da spielt Squid dann nicht mehr einfach so mit, woher sollte es auch wissen, welcher interne POP3 gemeint ist, f�r dieses Protokoll gibt's keinen 'Host:' Header o.�. Aber mal ganz ehrlich: wenn du wirklich mal die 256 Kisten im LAN stehen hast, die alle von aussen erreichbar sein m�ssen, solltest du eh �ber Platz in einem Rechenzentrum nachdenken, oder wenn die 100MBit-Leitung dann schon liegt zumindest von deinem ISP mehr als die 8 IPs bekommen k�nnen :-) Bei 256 Rechnern (oder auch nur 50) die alle aktiv gebraucht und von aussen benutzt werden macht ihr soviel Traffic, dass euer ISP euch die Subnetze hinterher schmeissen wird um euch als Kunden zu behalten :-))) -- Ciao, Pit -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
