Hi Daniel, On Fri, 21 Mar 2003 16:03:14 +0100 Daniel Golesny wrote:
>> Diese Idee führst du mit zwei DNS, von denen der eine nur Fallback >> für den andren sein soll, im selben Subnetz ad absurdum. > Mmmh, ja stimmt auch wieder. Dann werde ich das so einrichten, dass der > ISP (wie du vorgeschlagen hast) den Secundaery DNS einrichtet und die > Daten immer von dem primaeren runterzieht. Macht der Secondary automagisch. Der ISP muss die Domain in seinem DNS nur als "slave" kennzeichnen und du must selbigen im ZONE-File als NS eingetragen haben und dann schickt dein DNS bei Änderungen im ZONE-File automatisch eine Nachricht an alle eingetragenen Secondaries die dann ihrerseits alleine angerannt kommen und ihre Daten aktualisieren ... vorausgesetzt du hast ihnen den ZONE-Transfer (AXFR) nicht verboten :-) >> aber ich glaube wenn dein primärer DNS vor der Firewall ausfällt macht's >> der zweite auch nicht mehr lange, denn wenn der Server an sich stabil >> ist, bleibt nur eine Attacke als Ursache ... > Ja, ist schon richtig. Es kann entweder eine Attacke oder > Hardware-Defekt sein. Wobei zweiteres wesentlich seltener sein sollte als eine Attacke :-) >> Bleibt ausserdem noch die Frage, warum du _überhaupt_ zwei DNS-Server >> haben willst?!? Läßt du dann auch die beiden bei z.B. der Denic als >> primären udn sekundären eintragen? Bietet dein ISP, wenn er dir schon >> ein 8-er Subnetz gibt, keine Service, dass du einen von seinen DNS als >> secondary verwendest? > Ich kann das machen, wie ich moechte. Natuerlich ist es besser, die DNS > zu trennen und das ist hiermit in mein so langsam werdendes Konzept > aufgenommen :-) Ist auch sinnvoll, denn wenn wirklich "nur" ein Hardwaredefekt den P-DNS lahm legt hast du die Fallback-Lösung, und _zusätzlich_ bei einem Netzausfall eben auch. Beide nebeneinander würde nur Fall 1) abdecken :-) >>> Aber das Problem mit den Servern habe ich dann immernoch nicht geloesst. >> Mit den Webservern? >> Ich glaube wenn sie nach aussen auf die selbe IP hören sollen, musst du >> schon so etwas wie einen Squid oder ähnliches dazwischen hängen. Wie >> soll denn der Paketfilter bei einer Anfrage an: >> >> 1.2.3.4:80 > Ja, genau deswegen frage ich ja, ob es da eine Moeglichkeit gibt. > Aber ich will eigentlich sowieso nur einen Service pro Rechner haben und > wenn es nicht anders geht, dann kann ich wenigstens vor meinem Chef > gut argumentieren :-) Also du könntest, terroristisch, schon auf einer Maschine HTTP und SMTP fahren und das mit IPTABLES differenziert betrachten. Du kannst nur eben nicht zwei interne HTTPs auf eine öffentliche IP-Adresse abbilden, ohne so etwas wie Squid o.Ä. ins Spiel zu bringen. Also pro Rechner '>1 Service' ist OK, aber 'x Recher für einen Service' kannst du schlecht nach aussen (ausserhalb des Gültigkeitsbereiches deiner privaten IPs) kommunizieren :-) 30 Webserver in deinem LAN über eine IP nach draussen kommuniziert wirken nach draussen auch erst einmal wie _ein_ Webserver. >> entscheiden, ob das für den internen Webserver 1 (192.168.1.10) oder >> Webserver 2 (192.168.1.20) ist? Geht nicht. Und IPTABLES spricht kein > Das habe ich mir irgendwie schon gedacht. >> 'HTTP', kann also einen evtl. 'Host:' Header nicht auswerten. Das >> wiederum aber kann z.B. 'Squid'. > Ach ne, das mache ich nicht. Ich beschraenke mich auf einen Service, > fertig. Das muss reichen. "Müssen" gibts da nicht :-) Wenn's mal nicht mehr reicht stehst du im Regen. Aber unabhängig davon schriebst du in einer anderen Mail was von skalieren ... Da solltest du dann jetzt schon mit anfangen. Die Webserver kannst du über einen Squid skalieren (vorausgesetzt die Datentranfermenge aller Webserver zusammen übersteigt nicht irgendwann die Durchsatzleistung des Proxys). Problematischer wird's wenn du evtl. noch andere Dienst, wie SMTP oder POP3 "skalieren" möchtest. Da spielt Squid dann nicht mehr einfach so mit, woher sollte es auch wissen, welcher interne POP3 gemeint ist, für dieses Protokoll gibt's keinen 'Host:' Header o.Ä. Aber mal ganz ehrlich: wenn du wirklich mal die 256 Kisten im LAN stehen hast, die alle von aussen erreichbar sein müssen, solltest du eh über Platz in einem Rechenzentrum nachdenken, oder wenn die 100MBit-Leitung dann schon liegt zumindest von deinem ISP mehr als die 8 IPs bekommen können :-) Bei 256 Rechnern (oder auch nur 50) die alle aktiv gebraucht und von aussen benutzt werden macht ihr soviel Traffic, dass euer ISP euch die Subnetze hinterher schmeissen wird um euch als Kunden zu behalten :-))) -- Ciao, Pit -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)