On Thu, 2001-11-15 at 22:54, Stefan Cretioiu wrote: > > Sunt cateva probleme: nu am decat un singur IP activ si nu am masini cat > de cat performante pentru firewall, ca sa nu mai zic si pentru DNS, dar pot > utiliza mai multe masini slabe in spatele firewall-ului pentru a prelua o > serie dintre aceste functiuni. Problema cu rutarea am rezolvat-o.
Singura data cind am auzit de probleme _adevarate_ de performanta referitor la DNS a fost cind a povestit Petru Paler ceva despre o scula pe care o are el in paza si aparare. Dar, sincer, ma indoiesc ca tu chiar ai probleme de dimensiunea aia. Este inutil sa te ingrijorezi pentru puterea masinii in ce priveste DNS. Problema adevarata, pentru care ai putea intr-adevar sa nu vrei sa pui serverul DNS pe firewall, este securitatea. Dar unii zic ca, cu djbdns, securitatea nu mai e o problema, ceea ce poate fi adevarat sau nu, depinzind de cum definesti "securitate" si "adevar". Nu stiu ce sa zic, YMMV. Eu as pune un tinydns pe interfata externa a firewall-ului, astfel incit Internetul sa poata face query la domeniul meu. Pe urma as pune un dnscache pe interfata interna si as pune tot restul masinilor, inclusiv firewall-ul, sa-l utilizeze ca "nameserver". Tot pe interfata interna, dar pe un IP alias, as pune un alt tinydns, doar pentru intranetul local. dnscache-ul sa mearga direct la rootservere pentru orice altceva, sa mearga la tinydns-ul de pe cealalta interfata pentru domeniul extern, si la tinydns-ul de pe alias pentru domeniul intern. Nu e o problema ca ai mai multe tinydns pe aceeasi masina, scula a fost facuta special sa poate rula simultan instante diferite. Ceva asemanator am eu pe serverul de acasa, doar ca nu am DNS server extern. Dar mai depinde si de cerintele locale, si poate ca modelul meu nu se potriveste la tine... -- Florin Andrei "Our falsehoods are not so much a fundamental error as a resistance against a higher order." - Satprem --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
