Hallo Gert und Liste,
hier kommt der zweite Gang:
Gert Doering <[EMAIL PROTECTED]> writes:
>> das habe ich erst auch gedacht, aber dann gemerkt, da� ich da einen
>> Denkfehler gemacht habe: Wenn ich einen Rechner habe, der die Privacy
>> Extensions benutzt, den aber zum Beispiel als Sysadmin hausintern per
>> Ssh erreichen will, mu� ich ihn wiederfinden.
>
> Das *ist* der Denkfehler. Services lauschen auf der statischen Adresse.
Also um mal ganz genau zu nehmen: Manche lauschen auch auf allen
Adressen, einschlie�lich den tempor�ren. Mindestens FreeBSD verh�lt
sich bei einem Listen auf * so und im RFC steht dazu auch nicht, da�
das anders sein sollte.
Aber das nur am Rande, grunds�tzlich hast Du Recht, das Argument mit
der Ssh zieht in dieser Form nicht. War etwas sp�t gestern abend.
> Die Privacy-Extention-Adressen werden fuer abgehenden Verkehr benutzt.
Richtig. Trotzdem kann ich sie auch f�r ankommenden Verkehr benutzen,
wenn ich denn die Adresse wei�. So wie zum Beispiel mit Active Mode
FTP (ich wei�, auch das ist eine Krankheit).
> Site-Local ist so gut wie tot.
Bitte nicht diese Diskussion, das f�hrt zu nichts. Der Site-Local
Scope existiert nunmal, also m�ssen wir ihn irgendwo ber�cksichtigen.
Es zwingt uns ja niemand, ihn selbst zu benutzen.
> Lies die RFC noch mal.
Habe ich getan. Du hast Recht, die tempor�ren Adressen werden nur
zus�tzlich angelegt. Aber trotzdem zwei Punkte, warum ich auch die
tempor�ren Adressen im DNS haben will:
- In RFC 3041, Seite 13/14, wird das Thema angesprochen, da� die
Reverse Maps zur Authentisierung benutzt werden. Wo kein PTR RR
existiert, wird die Verbindung vom Server abgew�rgt.
Auch da kann man sich beliebig lange dar�ber streiten, ob das so gut
oder schlecht ist, es ist einfach so. Und wenn ich die letzten
Anti-Spam-Diskussionen nicht v�llig falsch verstanden habe, ist
genau so etwas auch in Arbeit, um die Absender-Adressen von Mails zu
�berpr�fen.
Auf das verwandte Problem mit den Timeouts bei erfolglosen Reverse
Lookups hat ja Achim Friedland schon aufmerksam gemacht.
- Au�erdem kann ich mit einem Packet Sniffer sehr viel einfacher nach
Fehlern suchen, wenn ich nicht �berall nur Adressen sehe. Den
entsprechenden Name Server w�rde ich zwar nicht �ffentlich
zug�nglich machen, aber selbst benutzen w�rde ich ihn gerade in
Aufbau- und Debugphasen doch ganz gerne. Split Namespaces sind ja
keine Geheimwissenschaft. Und wenn alles l�uft, kann man das ganze
ja auch wieder abschalten.
Viele Gr��e,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect
http://www.benedikt-stockebrand.de/ always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
Performance and High Availability Tuning, Large Scale Systems Design
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
