On Tue, Jan 04, 2000 at 12:46 +0100, Dr Norbert Boese wrote:
Das ist gut, als Bestaetigung zu hoeren, dann stimmte also meine Vermutung (Danke fuer den Tipp, ich wusste nicht, dass es fuer die cause-Errors auch ein Manual gibt).
Dann kennst Du auch die i4l FAQ nicht? (hint, hint) http://www.mhessler.de/i4lfaq.html Und die weekly MiniFAQ der Newsgroup isdn4linux auch nicht? (online unter http://www.franken.de/users/klaus/ und zuletzt am 31.12. posted)
1. Was koennte die Nameserver-Anfrage ausloesen, wenn zu meinem Server eine FTP-Verbindung aufgebaut werden soll ? Und welche Adresse soll aufgeloest werden ? Ich bin der Ansicht (bitte korrigiert mich gegebenfalls) dass keine Nameserver-Anfragen noetig sind, wenn mit numerischen IP's gearbeitet wird.
Gerade bei FTP und Telnet sind die Verbindungen nicht so "anonym" wie beim HTTP, wo "nur" oeffentliche Dokumente ausgereicht werden. Es ist eigentlich die Regel, dass die entsprechenden Server aus Interesse oder gar der Sicherheit halber zurueckfragen, wer da was will. Was die Not nach DNS-Anfragen angeht: Ich bin da zwar auch nicht ganz sicher, glaube aber schon dass es Kandidaten gibt, die zuerst oder ausschliesslich am DNS anfragen und nur mit Muehe nach /etc/hosts oder anderen Datenbasen zu dirigieren sind. Da kommt sofort das Stichwort sendmail hoch -- dem ist wohl auch nur mit dem grossen Hammer beizukommen in dieser Beziehung. Vielleicht hat die glibc mit ihrem nsswitch was geaendert, aber ich glaube nach wie vor dass eine hosts Datei nur den localhost kennen sollte. Egal ob Du's hoeren willst oder nicht: Ich empfehle immer wieder, einen lokalen DNS hinzustellen. hosts-Dateien zu pflegen ist einfach ein absolut unnoetiger Aufwand und kaum beherrschbar, wenn mehrere Rechner beteiligt sind (uebrigens auch eine Fehlerquelle, die man ewig lang suchen kann und sich hinterher an der Platte kratzt ob solcher Banalitaeten). Und offenbar hilft das auch nur denen, die dort nachlesen. :> Einer der Nebeneffekte eines lokalen DNS ist, dass ein Server schonmal geholte Angaben im Cache vorhaelt und beim naechsten Mal schneller bedienen kann. Ein anderer ist, dass Du einen named loggen lassen kannst, WAS da gefragt wird und WER danach gefragt hat. Der hauptsaechliche Effekt ist aber, dass Du nur EINE Datenbasis pflegst und auf den anderen Maschinen nur noch den Fakt mitteilst, DASS dort ein Server steht der andere Rechner kennt (und auch das geht noch automatisch mit DHCP & Co). Die Hemmschwelle fuer einen lokalen named sollte angesichts der vorliegenden HowTo wirklich gering sein und die Vorteile sind einfach unbestritten (man sehe sich nur die immer wieder gleichen Fragen an "warum das Telefonat? was will er wissen? und wer hat gefragt?").
2. Was ist bei der FTP-Anfrage (und auch bei der Telnet-Anfrage) anders als bei der HTTP-Anfrage ? Denn, wie gesagt, der Zugriff auf meinen Webserver klappt.
Du hast Glueck, dass der Web-Server nicht auch die Namen aufloesen will. Das koennte an einer Einstellung zum Loggen liegen (je nach verbosity oder paranoia). Offenbar begnuegt sich der httpd mit der numerischen IP oder speichert nicht einmal die in seinem Log. Und dann waren da noch die security wrapper (tcpd) und filter (firewalls, scan analyzer). Dazu muesste man wissen, was noch so alles installiert und aktiviert ist. Sieh Dich in /etc/host* um (speziell allow und deny lt "man tcpd") und /etc/ftp* wegen der Zugriffsberechtigungen auf User- oder Rechnerbasis. Oder setze einfach einen lokalen DNS-Server auf und Du hast vernuenftige Analyse-Moeglichkeiten. BTW: "Bedenkzeiten" im unteren Minutenbereich bei Verbindungsaufbauten deuten beinahe zu 100% auf DNS-Probleme hin. Unbekannte Wege (falsches Routing) fuehren beinahe sofort zum Misserfolg. Und pass immer auf, dass sich die Namen vorwaerts UND rueckwaerts (ip -> name, name -> ip) aufloesen lassen. virtually yours 82D1 9B9C 01DC 4FB4 D7B4 61BE 3F49 4F77 72DE DA76 Gerhard Sittig mail -s "get gpg key" Gerhard.Sittig@gmx.net < /dev/null -- If you don't understand or are scared by any of the above ask your parents or an adult to help you.