So, Endspurt:
Christian Strauf <[EMAIL PROTECTED]> writes:
>> Ich will ja mit den Privacy Extensions den Rechner vor den
>> "Meinungsforschern" im Internet mit ihrer Profilsammelwut sch�tzen,
>> nicht vor mir selbst als Sysadmin.
>>
>> Ist das so nachvollziehbar?
> Im Grunde ist das nachvollziehbar. Nur ist es offensichtlich so, dass
> Du, sobald Du einen Host f�r die R�ckw�rtsaufl�sung eintr�gst, ihm so
> viele Privacy-Adressen geben kannst wie Du willst, er wird immer dem
> Namen zuzuordnen sein.
Nicht, wenn ich einen Split Namespace benutze. Aber dann sind wir
wieder an dem Punkt, da� manche Sachen ohne PTR-RR nicht oder nur mit
Verz�gerung funktionieren.
Mal sehen, vielleicht gibt es ja irgendwann einen "wildcard PTR"
RR... oder ich mu� mal wieder seltsame Scripts basteln.
> Abgesehen davon kannst Du bei DHCPv6 auch Temp-Addresses leasen, die
> wie in der Privacy-Extension beschrieben generiert wurden (z.B. auch
> zus�tzlich zur fixen globalen v6-Adresse). Das Problem ist: bei den
> kritischen Applikationen wie Web, wo man m�glicherweise diese
> Privacy-Adressen verwenden will, ist gar nicht klar, wie sich die
> Applikation ihre Source-Adresse aussucht.
Eine interessante Frage, auch im Zusammenhang mit RFC 3041.
Prinzipiell kann eine Applikation da nat�rlich beliebigen Mist bauen,
aber in RFC 3484 ist da einiges zu geschrieben. Ich habe mir die
Implementierungen und vor allem die Konfiguration aber noch nicht
weiter angesehen; das kommt, wenn ich mal was �ber die
IPv6-Security-Mechanismen recherchiere/schreibe.
Was daran ganz interessant ist, ist da� Applikationen per Default die
feste Adresse benutzen,, um Probleme zu verhindern, die bei
langfristigen Verbindungen auftreten, wenn die tempor�re Adresse
invalid wird. Eine Applikation mu� explizit die tempor�re Adresse
bevorzugen, wenn sie sie benutzen will.
Ich pers�nlich finde den Ansatz etwas kurzsichtig; f�r's erste
verhindert er Probleme, aber langfristig w�re es wohl sinnvoller, wenn
Applikationen explizit die feste Adresse anfordern m��ten, wenn sie
sie denn brauchen.
Zu Deinem anderen Posting von wegen DHCPv6: Ich wu�te bis dahin nicht,
DHCP-Umfeld mindestens um IPv6 so viel getan hat. Ich werd's mir bei
allern�chster Gelegenheit auf jeden Fall nochmal genauer ansehen. In
allen IPv4-Umgebungen, mit denen ich bisher in Rechenzentren zu tun
hatte, war DHCP (mit IPv4) eine einzige Katastrophe, sowohl was die
Sicherheit als auch den Verlust der Leases-DB als auch das Spiel"ich
habe da mal 'n NT4 Server aufgesetzt" angeht.
Viele Gr��e,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect
http://www.benedikt-stockebrand.de/ always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
Performance and High Availability Tuning, Large Scale Systems Design
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
