izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem]

[Richard Willmann]

> Na overeni, jestli vsechny zony, pro ktere je muj konkretni DNS server 
> serverem autoritativnim jsou na tento server take delegovany staci celkem 
> jednoduchy script (jehoz srdcem bude dig +nssearch +aaonly ...). Takze 
> jakepak "ISP nedozvi".

ano, toto je jedno z rieseni, ktore ma svoje "ale" (aspon z mojho pohladu aj 
ked opat, moze byt pre niekoho akceptovatelne):

* nefunguje "automaticky" a "prirodzene" (ok, toto je taky poloargument),
* moze vzniknut "zmluvny problem". Zakaznik ti "plati za sluzbu zverejnenia 
zony" a ty ju neposkytujes.

> Tak jako tak bych jednou za cas podobnou kontrolu provadel (i s oddelenymi 
> servery preci nechci na tom autoritativnim mit desitky zon, ktere na nem 
> nejsou delegovane).

my mame napriklad system nastaveny tak, ze kym zakaznik plati, zonu tam ma. 
Bez ohladu na to, ci deleguje tak ako ma alebo nie (tj ci pouziva alebo 
nie). Kontrolu delegacie vykonavame, ale jej vystupom je emailova 
notifikacia zakaznika o "moznom probleme". Toto riesenie sme zvolili po 
konzultacii s pravnikom a auditorom.

> Doufam, ze neni nutne, abych pro SMTP argumentaci prakticky opakoval. Ten 
> kontrolni script by byl, nakonec, velmi podobny.

ano, oba problemy su viac menej rovnake.

> A to vubec nezminuju variantu, ze by (treba maly, vesnicky) ISP sluzbu 
> "provoz autoritativniho nameserveru" svym zakaznikum vubec nenabizel a 
> jedine zony, ktere by na takovem serveru byly by byly jeho vlastni.

uprimne, neviem aka je situacia v CR ale uplnou nahodou som v utorok riesil 
podobny roblem s ISP s pomerne vyznamnym trhovym podielom na SK. Klasicky 
neodsranili zonu a cast emailov sa zazracne a nepredvidatelne stracala. V 
ociach zakaznika sme boli blbcami samozrejme v prvom momente my :) Toto je 
este k tomu tak nestastna vec, ktora sa velmi tazko vysvetluje laikom. A 
obcas sa tazko aj riesi ked na druhej strane - ISP - najdes namiesto cloveka 
hlupaka, ktory sa ani nesnazi porozumiet.

> Pripominam, ze na pocatku bylo velmi nekompromisni prohlaseni o tom, ze 
> ISP, ktery nema oddelne servery ma v siti bordel.

velmi sa mi paci tvoj postoj odmietajuci ciernobiele nazory na tuto ale aj 
ine temy, avsak ked mam povedat zo svojich praktickych skusenosti, obvykle 
to tak naozaj je... :)

> A ja tyhle "hony na carodejnice" zalozene na jednoduchych, prostemu davu 
> snadno pochopitelnych heslech (i kdyz verim, ze Richard to takhle 
> nemyslel) nemam moc rad.

S odmietanim ciernobieleho pohladu suhlasim ale v niektorych nazoroch som 
zasadovejsi. Tu je to naozaj o skusenostiach z praxe. Viem, ze problem sa da 
vyriesit viacerymi sposobmi. Mne sa vsak zda riesenie zalozene na izolacii 
najcistejsie. To je ale vec pohladu.

Ked sme uz pri prikladoch z praxe. Len na pobavenie pritomnych... Jeden (nie 
najmensi) zo slovenskych webhosterov zvysuje dva mesiace pred expiraciou 
domeny TTL na zaznamoch na 2 tyzdne... Velka cast ludi meni poskytovatela 
prave pri maturite domeny :)

rwi