PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Warum fragt DNS root-servers ab?



ramsys
19.04.06, 15:20
Ich nutze gerade die Zeit und seh mir die Livelogs der FW an.
(Ist manchmal interessant und auch witzig wenn man manchen Mitarbeitern erzählt welche seiner Programme wohin telefoniern [wollen])
Jedenfalls schickt mein DNS anfragen an die root-servers obwohl die root.hint in der namd.conf disabled ist. Dafür stehen aber 2 Forwarders drinn welche alle restlichen Namen auflösen. Rein technisch würde der Zugriff auf die Root-servers eh nicht klappen.
Normal sollte der Server damit doch alle Anfragen die er nicht selbst Auflösen kann an die Forwarders weitergeben oder sehe ich das Falsch?

cane
19.04.06, 15:44
Ich geb dir mal frecherweise eine Quelle warum ich von BIND nichts halte und Alternativen wie djbdns als sinnvoller, sicherer und generell beser erachte:

http://www.fefe.de/dns/dns.pdf

mfg
cane

fuffy
19.04.06, 15:57
Hi!


djbdns ist für DNS was qmail für Email ist
Das wäre für mich ein Grund, mich nach einem anderen DNS-Server wie MaraDNS umzusehen. :rolleyes:

Gruß
fuffy

cane
19.04.06, 16:34
Kommentare ohne Begründung sind immer gut und nachcollziehbar,

da wir hier aber ramsys den Topic versauen bitte per PN :)

qmail ist sehr easy zu confen und sehr sicher - halt ähnlich wie Postfix. Okay - etwas schneller und sicherer weil sauberer programmiert...

mfg
cane

Roger Wilco
19.04.06, 19:06
Normal sollte der Server damit doch alle Anfragen die er nicht selbst Auflösen kann an die Forwarders weitergeben oder sehe ich das Falsch?
Kommt darauf an, wie du forward gesetzt hast. Default ist "first", d. h. Bind versucht es erst bei den Forwardern, danach bei den Root-Servern. Wenn du das nicht willst, setze forward auf "only".


Kommentare ohne Begründung sind immer gut und nachcollziehbar
So wie deiner? *fg*


qmail ist sehr easy zu confen und sehr sicher - halt ähnlich wie Postfix.
Und ich bekomme dabei regelmäßig die Krätze. Allein schon, dass man fast jedes Feature hinzupatchen muß, ist für mich ein Grund weder qmail (SMTP-Auth...) noch djbdns (Round-Robin...) einzusetzen.

Und mal ehrlich: Findest du die Datendateien von djbdns wirklich intuitiver als Zonefiles von Bind?

ramsys
19.04.06, 19:15
Kommt darauf an, wie du forward gesetzt hast. Default ist "first", d. h. Bind versucht es erst bei den Forwardern, danach bei den Root-Servern. Wenn du das nicht willst, setze forward auf "only".


Höh? Auch wenn es in der named.conf keinen Eintrag zur root.hint gibt?

Roger Wilco
19.04.06, 19:27
Höh? Auch wenn es in der named.conf keinen Eintrag zur root.hint gibt?
Jup, die sind für IN einkompiliert.

ramsys
19.04.06, 20:18
Na da waren die coder aber fleißig.
Wozu gibt man dann die root.hint überhaupt noch an?
Da diese ja auch per default config vorhanden ist ?!?

Jasper
19.04.06, 22:36
Na da waren die coder aber fleißig.
Wozu gibt man dann die root.hint überhaupt noch an?
Da diese ja auch per default config vorhanden ist ?!?

die fest einkompilierten sind nur als fallback gedacht, falls z.b. root.hint nicht lesbar ist.

-j

cane
19.04.06, 23:38
So wie deiner? *fg*

Immerhin hab ich oben ein .pdf verlinkt das einige Gründe nennt ;)


Und ich bekomme dabei regelmäßig die Krätze. Allein schon, dass man fast jedes Feature hinzupatchen muß, ist für mich ein Grund weder qmail (SMTP-Auth...) noch djbdns (Round-Robin...) einzusetzen.

Okay, ich muss dazusagen das ich generell minimalistisch veranlagt bin was Server angeht, soll heißen es ist mir lieber etwas zusammenzubauen als mit unnötigem Overhead zu leben. Deswegen bin ich zu Linux gekommen *fg*



Und mal ehrlich: Findest du die Datendateien von djbdns wirklich intuitiver als Zonefiles von Bind?

Denke das ist Ansichtssache und sehr subjektiv...

Würd sagen wir verständigen uns auf "Jedem das Seine und mir das meiste"

mfg
cane

derRichard
19.04.06, 23:55
Und ich bekomme dabei regelmäßig die Krätze. Allein schon, dass man fast jedes Feature hinzupatchen muß, ist für mich ein Grund weder qmail (SMTP-Auth...) noch djbdns (Round-Robin...) einzusetzen.

hi!

du kennst dich ja echt überhaupt nicht aus mit qmail und djbdns.
man merkt, dass nur hirnlose und uraltes gefasel nachblubberst.
bevor über ein programm herziehst, dann solltest es dir wenigstens mal _genau_ angeschaut haben!

//richard

bla!zilla
20.04.06, 07:47
Ich würde auch weiterhin BIND nehmen. Aufgrund eines Dokumentes in dem eine Person (ja, ich kenne Felix... :rolleyes:) was anderes anpreist würde ich meinen BIND nicht hergeben. Man kann ich sich die Alternative sicher mal ansehen, aber in meinen Augen gibt es zu BIND noch keine richtige Alternative.

Roger Wilco
20.04.06, 17:44
du kennst dich ja echt überhaupt nicht aus mit qmail und djbdns.
Unterstützt qmail ohne Patch SMTP-Auth? Unterstützt qmail ohne Patch TLS? Unterstützt qmail ohne Patch IPv6? Das sind für mich absolute K.O.-Kriterien.
qmail Toaster zählt nicht, weil damit einfach viele Patches zusammengemüllt werden.

Unterstützt tinydns ohne Patch Round-Robin Setups (mehrere A-Records pro Domain)? Unterstützt tinydns ohne Patch IPv6? Unterstützt tinydns ohne Patch SRV Records?


bevor über ein programm herziehst, dann solltest es dir wenigstens mal _genau_ angeschaut haben!
Habe ich. Ich danke für das ergiebige Gespräch...

derRichard
20.04.06, 18:16
Unterstützt qmail ohne Patch SMTP-Auth? Unterstützt qmail ohne Patch TLS? Unterstützt qmail ohne Patch IPv6? Das sind für mich absolute K.O.-Kriterien.
qmail Toaster zählt nicht, weil damit einfach viele Patches zusammengemüllt werden.

Unterstützt tinydns ohne Patch Round-Robin Setups (mehrere A-Records pro Domain)? Unterstützt tinydns ohne Patch IPv6? Unterstützt tinydns ohne Patch SRV Records?


Habe ich. Ich danke für das ergiebige Gespräch...
hallo!

ja, das tut es eben!
du _kannst_ patchen musst aber nicht.
qmail ist nur ein mta und nichts anderes. smtp-auth bekommst, wenn mailfront davor hängst. tls hat mit qmail nichts zu tun, das kann der tcp-daemon.
bei ipv6 hast recht, aber das brauch ich nicht. das ist ja der vorteil, ich hab ein programm, bei dem ich nur das habe, was ich brauche.

schau dir mal die rpms oder debs von distributionen an, da sind bei jedem 100te patches dabei, aber das ist ok. nur qmail darf das nicht. ;-)

wenn du was gegen qmail und co. hast, dann sei es dir überlassen...
//richard

p.s: ich antworte jetzt nicht mehr, hab keinen bock auf flame^^

fuffy
20.04.06, 19:09
Hi!


qmail ist nur ein mta und nichts anderes.
Dann hast du eine komische Definition von MTA. Ein SMTP-Server gehört für mich jedenfalls dazu. Wie soll man sonst Mails übers Internet übermitteln?


smtp-auth bekommst, wenn mailfront davor hängst.
qmail kommt mit einem SMTP-Server und dieser unterstützt essenzielle Features nicht. Dass du mailfront verwendest, zeigt, dass qmail-smtpd auch für dich unbrauchbar ist.
Wie bekommt man qmail eigentlich ohne Patches dazu, sich per SMTP-Auth bei anderen MTAs anzumelden? ;-)


tls hat mit qmail nichts zu tun, das kann der tcp-daemon.

% ldd /usr/sbin/tcpd
linux-gate.so.1 => (0xffffe000)
libwrap.so.0 => /usr/lib/libwrap.so.0 (0x4e3ec000)
libc.so.6 => /lib/tls/libc.so.6 (0x4ebe2000)
libnsl.so.1 => /lib/libnsl.so.1 (0x4ef78000)
/lib/ld-linux.so.2 (0x4e3ae000)
Ich sehe da keine libssl, also kann sich tcpd gar nicht um TLS kümmern. Außerdem startet man TLS erst nach einer erfolgreichen Verbindung mit dem jeweiligen Dienst. Das unterscheidet TLS von SSL.
Die Aufgabe von tcpd ist es, Verbindungen nur von bestimmten Hosts zu erlauben.


nur qmail darf das nicht. ;-)
qmail darf man gar nicht als DEB oder RPM anbieten.

Gruß
fuffy

cane
21.04.06, 07:54
qmail darf man gar nicht als DEB oder RPM anbieten.


Doch darf man, gängige Vorgehensweise wäre die Sourcen und ein Installscript ins Paket zu packen, wird auch fast überall so gemacht.

Zum Rest kann Richard mehr sagen als ich...

mfg
cane

Jasper
21.04.06, 22:34
an qmail scheiden sich die geister.
ich habe bei einer evaluierung vor einigen jahren qmail sehr schnell ausgeschlossen (übrig blieben exim (wurde später verwendet), sendmail, postfix, smail).
grund war nicht die software an sich sondern eher die attitüde des autors bei bugs und RFEs (sieht man sehr schon an bernsteins erwiderung auf den 64bit-bug von guninski unter http://cr.yp.to/qmail/guarantee.html und http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html). wietse venema (postfix) und philip hazel (exim) pflegen da einen entschieden besseren ton und deren MTAs sind IMHO nicht unsicherer/schlechter.
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html sollte man lesen und dann für sich selbst entscheiden, ob man die software einsetzen will oder nicht, ich für meinen teil will nicht.

-j

[WCM]Manx
22.04.06, 13:38
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html sollte man lesen und dann für sich selbst entscheiden, ob man die software einsetzen will oder nicht, ich für meinen teil will nicht.

-j
...dann auch das lesen: http://marc.theaimsgroup.com/?l=qmail-ldap&m=113817869808460&w=2

... wenn qmail, dann qmail-ldap.

Grüße

Manx

Jasper
22.04.06, 14:44
Manx']...dann auch das lesen: http://marc.theaimsgroup.com/?l=qmail-ldap&m=113817869808460&w=2

das ist nur fair. wobei man diese gegenliste wieder zerpflücken könnte. aber ein link pro und einer contra ist wie gesagt nur fair.



... wenn qmail, dann qmail-ldap.


ok, kann gut sein, seit der evaluierung habe ich qmail nicht mehr angesehen (an der basis-software hat sich ja seit dem auch nichts geändert).
ich für meinen teil komme mit DJB nicht so ganz klar (z.b. warum muss das ganze paket zwingend unter /var liegen? was haben executables in /var zu suchen?). aber genug, soll sich jeder selbst ein bild machen.

-j