Názory k článku Tuning internetového připojení - DNS, SMTP

neslo by nelegalni metody o kterych se zminujes na zacatku clanku alespon naznacit? jinak kosher clanek, diky

Bind + sendmail je naozaj uzasna kombinacia. Este k tomu wu-ftpd a mozeme dat server na siet. :P

proc takovy bloatware ? ja pouzivam djbdns (debian/woody) a vyhody jsou nasledujici: je to malinke, cachuje to jedna radost, je to jednoduche na konfiguraci a (dusledek malinkosti) neni to chybouci.

dnsmasq, je ve woody. primo urceny pro dial-up. v unstable umi i blokovat "divne" dotazy od win2k na dns, takze se nevytaci, kdykoliv win si jenom "neco" kontroluje, tedy jestli se to da takhle rict.

Nechci nijak hajit (deravy) bind, ale jednim ze zakladnich veci by melo byt dodrzovani obecnych (tj. neproprietalnich) standardu (mmj. je to jeden ze zakladnich argumentu "linuxaru" proti "windowsarum")
a bohuzel djbdns je v tomto smeru ponekud cerna ovce :-(.

to by me zajimalo, proc tvrdis, ze je to cerna ovce, :-),
jaky standardy nedodrzuje djbdns?

Třeba tinydns při dotazu na doménu, kterou nemá jako primírní místo UNAVAILABLE nevrací nic. A to se podle RFC nemá. :-(

PS: ale taky ho používáme.

Pro domaci pouziti bych doporucil spis kombinaci pdnsd, masqmail a wwwoffle.

Jo ja taky, pouzivam a jsme spokojeni.

Taky jsem použil pdnsd. Podle dokumentace má při ukončení ukládat DNS cache na disk (třeba když vypnu počítač). Ale nepodařilo se mi to zprovoznit.

pdnsd je fakt cool. Debian testing -> beha jak vino...

Me pdnsd na Debianu ukladada DNS cache do /var/cache/pdnsd/pdnsd.cache. A funguje to vyborne.

... - zname to diry na osum - qmail udela stejnou sluzbu, je mensi, umi Maildir, konfiguruje se taky skoro sam a o dirach si autor mysli, ze kdyz nejakou najdete, da vam $10K, coz je myslim znameni (nikoli dukaz) _velmi_vysoke_ spolehlivosti

Qmail? Proc? Davno se nevyviji, kvuli kazde ptakovine se musi opatchovat a prekompilovat, otvira spoustu konexi do stejne domeny misto toho, aby to poslal v jedne... Nemyslim, ze by treba takovej Courier ci Posfix byli tak deravi, aby to prebilo jejich vyhody.

Ja bych jen dodal, ze jakkoli patchnuty qmail (a bez toho se puvodni jiz v dnesni dobe skoro neda pouzit) je naprosto bez zaruky, tudiz bezpecnost a nebepecnost pada s adminem a to je dost vo nicem...:-(

dig -x 123.45.1.1 je dost jednoduchý. DAEMON_OPTIONS v článku zabraňují sendmailu naslouchat na jiném rozhraní, než na loopbacku (čili není možné sendmail kontaktovat přes síť a není tedy možné přijmout mail z jiného počítače). Výhody a nevýhody na konci článku jsou pěkně zmatené, protože sendmail se o opětovné doručení pokusí vždy a nastavením konfigurace nezabráníte vypnutí počítače :-) Čekal jsem (podle úvodu) trochu více :-(

Vychadzam z predpokladu, ze znacnu cast kapacity linky zahltia surfujucu uzivatelia.
A dalej z toho, ze vacsina ich surfuje v ceskom a slovenskom priestore.
Takze staci do proxy servera squid nasadit redirektor squirm (o ktorom som sa dozvedel prave tu na Zive.cz, dakujem :-) a s pravidlami cca. na jednu stranu ste schopni odfiltrovat vsetky vymenne bannery v cechach, na slovensku (+ hotmail, ktory je tu casto pouzivany).

Takze miesto vyrusujucej reklamy maju uzivatelia iba decentny viacmenej cierny obrazok, ktory sa im natahuje z lokalneho servera.

Ked pocitate iba 1-2 bannery na stranku (SME.sk ich ma kludne aj 4-5, zive.sk podobne ) a banner ma aspon par kilo.. hm.. tak usetrite bandwidth a stranky sa natahuju rychlejsie.
A navyse zabranite uzivatelom klikat na rozne haluze, ktore ich odtrhaju od roboty :-)))
(resp. nezabranite im na to kliknut, ale po kliknuti ich presmerujete .. znova na ten cierny obrazok.)
Zatial sa nikto nestazoval. (ok, tak jeden clovek)

Podobne mozete odfiltrovat aj tie uplne neuzitocne pocitadla pristupov (http://dot.idot.cz)
a zase sa to trosku zrychli.

ph@ais.sk

O filtrovani reklamy (privoxy) bude pokracovani (-:.

squirm bol na root-e popisany tu:

http://www.root.cz/clanek.php4?id=1355

Taky bych se primlouval za popis konfigurace neceho rozumejsiho nez je bind+sendmail. Co takhle djbdns (dnscache, tinydns)+qmail+squid+iptables(treba pro jednoduchost shorewall) na lokale + popis jak to upravit na fw pro malinkou domaci/firemni minisiticicku (pripadne nejaky jednoduchy traffic shaping). To by bylo myslim uzitecnejsi. S ohledem na to, ze by to mel zvladnout uplny zacatecnik (jako ja po 3 mesicich skusenosti s Linuxem :-). Takovou kucharku bych povazoval za velmi hodnotny clanek. Sam jsem tuto kombinaci (ne komplet vsechno [LEAF Bering s qmail]) jednou rozchazel a zustalo spoustu nezodpovezenych otazek.

Tahle kombinace (bind+sendmail) je aspon soucasti instalace a tenhle clanek netvrdi, ze je to jedine, nebo nejlepsi reseni.

Proste popisuje nastaveni postavene na programech, ktere jsou na instalacnich CD a neni treba neco stahovat z Netu.

Clanek je prece pro lidi, kteri maji limitovanou linku, ne??

Myslim, ze stahnuti souboru o velikosti cca 2 disket neni zadny problem ani pro dialup. Napr. ten LEAF Bering je standartne jedna 1.68MB disketa a s qmailem a par djbtools je to na tu druhou :-) No a pro "standartni" distribuce si stahnes zdrojaky a ty nejsou vetsi. Tady se opravdu nejedna o xMB baliky, ale datovy tok ekvivalenti chvilky brouzdani na dnesnim netu zapraseneho reklamnimi banery.

Nepochybne je na vzdalenou zpravu LEAFu pouzito SSH a to v implementaci OpenSSH a nepochybne jiz ten, kdo se o LEAF stara aplikovat patche na docela skarede nove objevene chyby ve verzich OpenSSH starsich nez 3.5. Ono to neni jen o malickosti programku, ale o celkove koncepci, kdyz uz se o tu bezpecnost kazdy otira...

genialni komprimacni algoritmus je snad nelegalni?

No v dnesni dobe, kdy chteji soudit chytry lidi, kteri poukazali na bezpecnostni problemy nekterych 'taky-bezpecnostnich' technik je mozny vsechno ... :)

Mam na mysli kauzy v USA (ElcomSoft), v Britanii, v Dansku .... jen se bojim, az tahle moda dojde k nam, to pak asi budou lidi, kteri umi myslet, pod prisnym dohledem a nebo ve veznicich :|

No, komprese toku na lince je sice pěkná věc, ale s instalací nějakého geniálního prográmku k jeho realizaci musí souhlasit i Váš provider, což, řekněme si to rovnou, není vždycky jednoduché.

Ma-li clovek na Internetu server, muze ho pouzit jako proxy, pripojovat se k nemu komprimovane a sifrovane a provider nemusi o nicem vedet.

genialni komprimacni algoritmus patri do kategorie nerealne (-:.

Ak mas na druhej strane (niekde na nete) neaku masinu ktora ti dokaze robit dekompresiu tebou odosielanych dat a komprimovat tie co lezu k tebe, nevidim v tom ziaden problem (kompresny pomer je ale zavisly na algoritme a hlavne tom co prenasas, takze ak budes prenasat napriklad mp3ky, tak to uz tazko zkomprimujes, ked to uz raz skomprimovane je)

Diky za kritiku, lepsi zaporna nez zadna. V pokracovani se budu vic snazit (-:. Vyber softu vysvetlim jednoduse, vyjmenovany soft pouzivam a jsem s nim spokojeny, nicmene jste me vesmes presvedcili, ze bych se mohl zabyvat i alternativami. Pokusim se o to. Jeste jednou diky.

Hele, a slo by to vubec nejak oblafnuot traffic shaper? Neco jako spesl casovany narazovy stahovani nebo tak? Nebylo by to spatny... :)

OT: Zdar, neviete ako povolit resolving externych domen iba pre privilegovane IP adresy z lokalnej siete? Konkretne mam malu lokalnu siet, v ktorej sedi bind a je master pre fiktivnu zonu (neexistujucu na Internete). Chcel by som, aby vsetkym strojom v sieti zodpovedal na dotazy o tejto domene. Pre resolvovanie mien v *.com, *.org, atd. sa musi vytocit dial-up a toto urobil iba pre niektore privilegovane stroje/IP adresy. Vdaka za lubovolny RTFM pointer...

Moznosti je nekolik, uvadim jednu, jinak doporucuji dokumentaci bindu, klicova slova acl, allow-recursion, allow-query, zone. Take doporucuji v sekci options volbu dialup a heartbeat-interval. Tyto umoznuji zajistit vykonavani dotazu "ven" v davkach.

/etc/named.conf:
options {
allow-recursion {
192.168.1.13;
192.168.1.26;
... dalsi "privilegovane" adresy
};
...
};

Coz misto sqidu nainstalovat scache. Beha to na Linuxu i na nejmenovanem operacnim systemu. Vetsina reklamy se da dost jednoduse zablokovat. Ma par desitek kb (ale vyzaduje to JRE). Jednou nakesovane stranky zobrazuje i po odpojeni (ne jako squid).

Ano, jsem pro, aby se vytahla na svetlo Smartcache, ktera beha i na Widlich, a jako kafova aplikace bude jiste nasaditelnejsi na mnohem vice masin, nez bind, qmail atd. A kdyz uz se tu diskutuje dial-up, chtelo by to otestovat i ty rozhrani SNTP<->web.mail ;)
to zere taky kapacitu linky strasne.

Bind9 je uplne prepsan s ohledem na bezpecnost. Myslim, ze je opravdu skvely. Jako cache-only DNS je mozna o neco vetsi nez specializovane konkurencni servery, ale je myslim plne vyhovujici. HLAVNE narozdil od DJBDNS ma format zon v normalnim tvaru.
Prirucka BINDu je vyborne napsana. Neni soucasti archivu...
Sendmail ve verzi 8.12.X je take dost predelan. Je v nem oddelena cast naslouchajici od casti posilajici lokalni postu z duvodu bezpecnosti. Vyzaduje take striktne prava adresaru mspool, souboru .forward apod.
Dokumentace je psana dost necitelne, ale kdyz uz to jednou pochopite, tak uz to nikdy nezapomenete a zjistite, ze to je trapne jednoduche...

No mne docela dostalo, ze mailq spusteny s prostrednim neprivilegovaneho uzivatele mne posle nekam...:-) (a to neni jedina viditelna zmena)

prirucka bindu je v distribucnim archivu. teda .. aspon me to co je v doc/arm jako celkem slusna dokumentace prijde...

V clanku se pise "v případě výpadku jmenných serverů poskytovatele budeme zcela odříznuti od světa, tento problém by vyřešila změna v /etc/named.conf z forward only; na forward first; (nebude fungovat při ochraně portu 53)"

veta "nebude fungovat pri ochrane portu 53" je ponekud nepresna. pokud svuj DNS cache server provozujete jen v roli trochu chytrejsiho DNS klienta a nehostujete zadne svetu pristupne zony, zakazte vsechny prichozi DNS dotazy, povolte vsechny odchozi a hotovo.

je jedno, zda se pakety posilaji jen jednomu serveru nebo se vykona serie dotazu na ruzne servery, vsechno to jsou odchozi dotazy. vy si zrejme chcete "chranit port 53" proti prichozim dotazum, coz muzete pohodlne rozlisit pomoci iptables.

"Ochranu" portu 53 (iptables) budu popisovat v pokracovani clanku, pokud ani pak nebude jasne, co jsem tim myslel, priznam, ze jsem to napsal spatne (-:.

Kdyz uz jsme u tech rychlosti a zrychlovani linek, muze mi nekdo rict jak spolehlive zjistim jakou rychlost a pruchodnost linky mam ? Zda se mi ze mam sdilenou linku i kdyz platim za nesdilenou, a nevim jak to prukazne dokazat.