Moin, Am Samstag, den 13.08.2005, 18:46 +0000 schrieb Mick: > Joerg Rossdeutscher wrote: > > > Was du wohl noch nicht wusstest: > > Ist die Verbindung zustandegekommen, möchte der Server aber auch gerne > > gucken, WER ihn da grade anbaggert. Deswegen erfragt er den Namen, der > > zu der anbimmelnden IP-Nummer gehört. Und dafür muss DNS für den > > CLIENT kennen. > > Wieso interessiert ihn das? Es ist doch egal wie der Client heist, oder > geht es nur darum hübsch zu logen? Das "warum" kann ich dir leider nicht beantworten. Mir kommt nur das Problem sehr bekannt vor. :-) Es macht keinen Sinn, jetzt in der Konfiguration deines Mailservers rumzuschrauben, um das abzuschalten. Sehr viele andere Programme machen das nämlich auch, z.B. qpopper, ssh, telnet, ... ...und sogar auf Clientrechnern kann sowas gelegentlich zum Problem werden, das war vor einiger Zeit mit Mac OS X ein Thema. Es gibt wirklich nur eine sinnvolle Lösung: Interner DNS. > > Deswegen sollte man im internen Netzwerk eigentlich immer einen > > DNS-Server haben, der ALLE Anfragen für das interne Netz beantwortet. > > Es reicht vollkommen, wenn die Namen "rechner1.example.com" bis > > "rechner254.example.com" lauten, der Name muss gar nicht der > > "richtige" sein. In bind9 gibt es dafür sogar eine Direktive, die in > > eine einzige Zeile passt und das ganze Netzwerk abdeckt. Kann ich bei > > Bedarf nachschauen. > > Bitte, wenn es nicht zu viele Umstände macht. Ich nehme an die > Directive gehört in names.local.conf? Ich löse bei mir alles intern auf und habe mir deswegen eine Zone definiert: 192.168.1.x In deren jeweiligen Konfigurationsdateien löse ich vorwärts auf: $GENERATE 1-254 client-$ A 192.168.1.$ und rückwärts: $GENERATE 1-254 $ PTR client-$.firma.foo. Damit heisst jeder Rechner "client-X", wobei X die letzte Stelle seine IP ist. Da ich kein DNS-Profi bin, poste ich jetzt nicht meine komplette Konfig, denn die könnte Macken haben. > > Dein Caching-Server wird jetzt nach wie vor die Anfrage nicht > > beantworten können, wer eigentlich "192.168.0.1" ist, und der des > > externen Providers kann es auch nicht. Das Problem bleibt also > > bestehen. Da der DNS-Server sich allerdings für eine gewisse Zeit > > "merkt", dass er diese Anfrage nicht beantworten kann, wird es > > deutlich seltener auftreten. > > Das würde erklären, warum ich jetzt keine merkbaren Probleme mehr habe. Es wird immer mal wieder einen Hakler geben, aber deutlich seltener. Abgesehen davon, ob man das toleriert, hat sich ein gut gepflegter DNS bei mir inzwischen als erhebliche Arbeiterleichterung erwiesen. Man sieht in der Logdatei das eine oder andere, was einem bei einer blanken IP vielleicht nicht auffällt. Wenn man 10 Rechner hat, die Netboot machen, merkt man in den Logs nicht so schnell, dass der Drucker das auch versucht. :-) Mit den Namen im Log stolpert man relativ schnell drüber. Abgesehen davon, wenn man auch noch die Suchdomains konfiguriert, kann man einfach "ssh server" eintippen statt "ssh server.firma.foo". Und so. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Attachment:
signature.asc
Description: This is a digitally signed message part