IPv6 - správa vlastní podsítě (diskuse)

AbcLinuxu:/ Články / IPv6 - správa vlastní podsítě / IPv6 - správa vlastní podsítě (diskuse)

Štítky: AbcLinuxu, audio, databáze, Debian, distribuce, Gentoo, GNOME, grafika, hardware, IDE, instalace, Internet, KDE, kernel, Linux, multimédia, ovladače, problém, programování, prohlížeče, server, sítě, software, SUSE, textové editory, Ubuntu, USB, Vim, web, Windows

Nástroje: Začni sledovat (2) ?

Vložit další komentář

10.4.2008 09:01 zde | skóre: 9 | blog: Linuch | Brno
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

Reverzní AAAA-čka jsou ještě větší hnus než zbytek fau-sexu. :/

Táto, ty de byl? V práci, já debil.

10.4.2008 10:25 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Heh, a to jako proč? Jdi se bodnout :-P Hnus je stará IPv4 ;-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

10.4.2008 15:14 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Naopak, líbí se mi, že je tam granularita po čtyřech bitech, takže se dá očekávat mnohem méně problémů obdobných těm, které nastaly u IPv4 po zavedení beztřídních delegací, a nutnosti krkolomných workaroundů typu RFC 2317.

11.4.2008 00:27 l.
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tenhle ten "workaround" vznikl protoze dns - jako logicka nadstavba nad IP - a ne kvuli samotne IPv4. IPv4 - classless+VLMS tzn adresa rozsirena o masku libovolne delky je pomerne elegantni a flefibilni reseni. DNS je ten pruser. Taky co byste chteli, kdyz cela myslenka je zalozena za "distribuovanych" seznamech, popisujice relaci mezi classful adresou (rozumej svazanou prisnymi pravidly) a "libovolnym" jmenem.

BTW veci kolem prekladu jmen a "kompletni kompatibilita nezi dns/ipv4/dns6/ipv6" jsou duvod, proc nejde ipv6 naimplementovat plosne a "ihned".

11.4.2008 00:31 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

BTW veci kolem prekladu jmen a "kompletni kompatibilita nezi dns/ipv4/dns6/ipv6" jsou duvod, proc nejde ipv6 naimplementovat plosne a "ihned".

Můžu poprosit o trochu víc detailů?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

11.4.2008 10:25 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Ten workaround vznikl proto, že model řešení reverzního lookupu byl navržen ještě před příchodem CIDR a s prefixy nedělitelnými osmi nepočítal. Kdyby se s tím počítalo předem, šlo by to navrhnout o něco elegantněji.

10.4.2008 20:15 Kroko | skóre: 22
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

njn, když autor nevyužívá výhod prefixů tak je to pak opravdu hnus to takto rozepisovat

http://kroko.evesnight.net

10.4.2008 21:02 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Autor píše záznamy tak, jak ve skutečnosti jsou.

Kdyby je psal zkráceně (o prefix), musel by ještě vysvětlovat rozdíl mezi konfiguračním souborem a skutečnými záznamy a to považoval za zbytečnou komplikaci.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

11.4.2008 00:18 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Reverzní A v IPv4 se obvykle řeší tak, že i když máš rozsah, nemáš vlastní nameserver, ale říkáš si upstream providerovi o každou změnu (pokud se jedná o malý rozsah, což se v případě IPv4 často jedná).

Větší granularita je v případě IPv6 jenom výhodou.

Na druhou stranu bych očekával, že použiješ stejný primární nameserver pro oba směry a necháš nameserver, ať se postará o reverzní směr sám.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

11.4.2008 21:47 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Reverzní A v IPv4 se obvykle řeší tak, že i když máš rozsah, nemáš vlastní nameserver, ale říkáš si upstream providerovi o každou změnu

Standardni reseni je to, ze provider (nebo ten, kdo ma nadrazeny /24 rozsah) zridi v rozsahy poddomenu a pro vsechna reverzni jmena v udela CNAME do dane poddomeny. Poddomena se pak deleguje na tvuj DNS server. Viz RFC 2317

12.4.2008 01:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Jde o to jestli slovem standardní myslíš *běžné* nebo *podle RFC*. To je velký rozdíl.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 15:26 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

No nevim, my mame konektivitu od dvou poskytovatelu a u oba na nas deleguji reverzni DNS podle daneho RFC.

12.4.2008 16:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Fajn, tak to už máme dva :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 18:28 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

A ty vis o nejakych ISP, kteri to tak nedelaji?

12.4.2008 19:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tak minimálně pro náš server si říkáme o nastavení reverzů jednotlivě, tak tiše předpokládám, že to nedelegují, jinak by se mě už Michal ptal, jestli nepojedem na vlastích DNS serverech. Ale možná je to jenom okrajový problém.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

16.4.2008 14:14 zde | skóre: 9 | blog: Linuch | Brno
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Docela standarní taky je, že se na reverzy kašle a nejsou vůbec- k čemu taky .-)

Táto, ty de byl? V práci, já debil.

16.4.2008 15:02 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Třeba k tomu, aby tvůj mailserver dokázal například doručit mail na abclinuxu.cz :D.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

16.4.2008 18:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

K čemu potřebuje poštovní server vědět jméno počítače, který mu chce předat e-mail?

16.4.2008 23:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tak to zkus :D.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.4.2008 09:24 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Z pouhého pokusu nezjistím, k čemu je to dobré. Žádný poštovní server, který jsem kdy konfiguroval, ne potřeboval nikdy vědět jméno počítače, od kterého přijímal e-mail. Napadá mne jediný způsob použití jména odesílajícího počítače – „obrana“ proti spamu (postavená na myšlence, že když zahodím dostatečné množství libovolných e-mailů, mezi zahozenými e-maily bude s jistou pravděpodobností i nějaký spam).

17.4.2008 11:31 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Ta "obrana" samozrejme funguje. Hlavne, kdyz nekdo mail server bez reversu napraska spamcopu. Dokonce jsme byli blacklistovani, kdyz kvuli natu na routeru nesedel s heloname. Zakaznici jedine oceni, kdyz se budete obtezovat reversem. Usetri to problemy v budoucnosti.

17.4.2008 12:31 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Ta "obrana" samozrejme funguje.

Jistěže funguje – způsobem, který jsem popsal v závorce.

19.4.2008 15:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Může se ti to líbit nebo nelíbit, ale používá se to a je to velmi efektivní, společně s dalšími podobnýmy způsoby, které nevyžadují filtrování pošty.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 16:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Efektivitu by bylo možné zjistit jedině tak, že by se přijaly všechny e-maily, pouze by se označkovaly. Pak by se zjišťovalo, jaká byla korelace mezi označkováním a spamem. Jinak víte akorát to, že se něco nepřijme.

Navíc když takhle e-maily zahazuje jen primární SMTP server, a záložní takový e-mail klidně přijmou, je to spíš pravý opak efektivity – když se vám někdo bude pokoušet poslat normální e-mail, zkusí nejprve primární SMTP server, tam bude kódem 4xx odmítnut a bude to zkoušet opakovaně, ale e-mail stejně neodešle. Zatímco spammer se s primárním serverem nebude obtěžovat, pošle to rovnou na záložní a ten e-mail přijme a přepošle. Jako metoda, jak e-maily roztřídit na spam a ham je to jistě zajímavé, akorát se obávám, že většinou bývá snahou spam zahodit a ham doručit, ne přesně opačně.

19.4.2008 16:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Navíc když takhle e-maily zahazuje jen primární SMTP server,

Tak je admin pako, na to se nedá nic jinýho říct.

Pokud někdo neumí nastavit mailservery, tak je to jeho problém. A zvlášť blbě nastavenej backup mailserver je mnohem horší než žádnej.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 17:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Pokud někdo neumí nastavit mailservery, tak je to jeho problém.

Právě že ne. Když někdo neumí nastavit mailservery, je to problém hlavně všech okolo. Dotyčný admin je zpravidla jediný, kdo je v klidu, protože o nedoručených e-mailech neví, a že jeho server rozesílá spam (jiný případ špatné konfigurace) ho netrápí. Já osobně považuji za špatné nastavení mailserveru i to, pokud se z existence či tvaru reverzního záznamu IP adresy jeho protějšku pokouší něco uhodnout. Většina spamu pochází z počítačů, které reverzní záznam mají.

19.4.2008 17:24 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Většina spamu pochází z počítačů, které reverzní záznam mají.

Na mailserverech, které se nebaví se strojema bez reverzů určitě.

Ale jinak bys musel tohle tvrzení nečím podložit, podle mě nemáš obecně pravdu.

Já jsem většinu spamů odfiltroval na základě špatného chování při SMTP komunikaci.

Já osobně považuji za špatné nastavení mailserveru i to, pokud se z existence či tvaru reverzního záznamu IP adresy jeho protějšku pokouší něco uhodnout.

To já taky, já radši, když nic nehádá a prostě všecky, co se nechovaj rozumně pošle do háje. Oni si to velmi rychle opraví a když ne, jejich smůla, každopádně nemůžou předstírat, že si toho nevšimli.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 18:35 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Ale jinak bys musel tohle tvrzení nečím podložit, podle mě nemáš obecně pravdu.

grep 'client=unknown' /var/log/mail/* | wc -l 
grep 'client=' /var/log/mail/* | wc -l

a obě čísla podělit. Na jednom serveru jsem napočítal ani ne 40 % bez reverzu. Test, kterým mi projde více jak 60 % spamu a nijak neovlivní další testy, který ale bez varování může likvidovat i ham, ten nepotřebuju.

Oni si to velmi rychle opraví a když ne, jejich smůla, každopádně nemůžou předstírat, že si toho nevšimli.

Co by si opravovali? A proč by si toho museli všimnout? Myslíte si, že budu pokaždé pátrat po tom, zda můj e-mail došel? Většinou pokud není na e-mail adekvátní reakce, není problém obrátit se někam jinam, kde na e-mail zareagují.

19.4.2008 19:37 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Já mám pořád za to, že si nerozumíme. Tady nejde o to, jestli filtrace spojení z adres bez resolvu něco vyřeší, nebo nevyřeší. Tady jde úplně o jinou věc. Velmi časté je, že prostě od adres bez reverzů chodí samý spam. Pokud se mi server prohýbá pod náporem spamu, je řešení poměrně jednoduché, odříznout adresy bez reverzů, a chod se zrychlí. Dopustím se sice odmítnutí zadedbatelného množství zpráv, ale odmítnu velice rychle a na zdroje nenáročně.

Když tedy chcete čísla:

$ grep "SA: Action: temporarily rejected message:" rejectlog | grep "host=NULL" | wc -l
8
$ grep "SA: Action: temporarily rejected message:" rejectlog | wc -l
12
$ grep "SA: Action: permanently rejected message:" rejectlog | grep "host=NULL" | wc -l
57
$ grep "SA: Action: permanently rejected message:" rejectlog | wc -l
85

Jsme na malém serveru, kde neběží žádné komerční nasazení. Přesto v dnešním ani včerejším logu není jediný přijatý mail, který by byl doručen. Tedy přesněji každý den to byly 3. U všech třech se v logu píše:

SA: Action: flagged as Spam but accepted

Za celou historii logů nemám ani jeden přijatý mail bez reverzu. Jestli tohle vám nestačí, potom to asi umíte líp. Mě to stačí a dál to nepotřebuji řešit. Pokud uvažujete o reálném mailování, reverz prostě potřebujete.

20.4.2008 01:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Hele, jaktože temporarily?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 09:31 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Aby to bylo ještě více postavené na hlavu a ubíralo to zdrojů víc, než kdybyste ten e-mail přijal a označil jako spam. Jinak pokud tím nechcete eliminovat spam, ale jenom omezit provoz, můžete opravdu ukončovat třeba 40 % spojení náhodně, a efekt bude stejný.

20.4.2008 11:11 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tebe jsem se neptal, je mi jasný, že bych dostal jen další přihlouplou reakci.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 01:21 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

bez varování může likvidovat i ham

Likvidovat nemůže nic. A bez varování nemůže taky nic (nejen likvidovat).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 09:35 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Adresátovi se e-mail nedoručí a nedozví se o tom, odesílatel se o tom zpravidla taky nedozví (a pokud mu o tom e-mail přijde, nerozumí mu – navíc mu přijde třeba až za týden). Můžete klidně říkat, že to není likvidace ani zahození, ale nedoručení – na podstatě věci to ale nic nemění.

20.4.2008 11:12 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To co píšeš se stane jenom pokud je admin blbec a neumí to nastavit.

Vyměň admina :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 11:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Jinak... e-mail se nedoručí a odesílatel dostane okamžitě zprávu, že se e-mail nedoručil a s odůvodněním... zavolá adminovi a řekne mu, ať s tím něco udělá. Admin si najde někoho, kdo mu vysvětlí, jak se nastavuje e-mail a dns a opraví to.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 13:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Pokud se e-mail nedoručí s chybou 4xx, nemusí odesílatel hned dostat žádnou zprávu. A pokud SMTP klient, který byl odmítnut, není přímo poštovní program odesílatele (např. pokud se budu řídit vaším doporučením použít SMTP relay ISP), nedostane chybovou zprávu nejspíš vůbec, protože chybové zprávy o nedoručeném e-mailu se dnes právě kvůli spamu a hlavně virům většinou neodesílají (protože by tím jen vznikal další spam). Taky máte trochu zvláštní představu o tom, co bude běžný uživatel dělat s případnou chybovou zprávou od SMTP serveru. Pokud to vyhodnotí jako skutečný e-mail (ne spam) a pochopí, že se má obrátit na admina, je to úspěch.

Navíc se celou dobu bavíme jenom o tom, jak moc odmítnutí takového e-mailu vadí, ale zatím jediný přínos, který tady někdo zmínil, je ušetření šířky pásma (které je navíc velmi diskutabilní a lze ho dosáhnout i jinými metodami). Já osobně tedy vidím ještě jeden přínos – omezování podle reverzního záznamu se na serverech děje ve vzácné shodě s kontrolou, jestli reverzní záznam není ošklivý, případně s antivirovou kontrolou, která o svých nálezech rozesílá spam na adresy zfalšovaných odesílatelů. A s takovými servery je lepší nekomunikovat…

20.4.2008 22:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

chybové zprávy o nedoručeném e-mailu se dnes právě kvůli spamu a hlavně virům většinou neodesílají

Chybové zprávy o nedoručení mailu se podle mě odesílají.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.4.2008 09:47 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Hm, moje věta „… se děje ve vzácné shodě s …“ evidentně padla na úrodnou půdu. Takže uživatel A má zavirovaný počítač, nějaký vir si vybere z jeho adresáře kontaktů náhodně uživatele B a na adresu C pošle sám sebe nebo nějaký spam s adresou odesílatele B (aby to vypadalo důvěryhodně, případně prošlo whitelisty založenými na e-mailových adresách odesílatele). Cílový server e-mail z nějakého důvodu odmítne a odešle zprávu o nedoručení e-mailu na adresu odesílatele – B. Takže B právě dostal další milý spam. Jenom si nejsem jistý, zda tohle bude účinná taktika proti spamerům. Obávám se, že je marné doufat, že se takhle vygeneruje spamu ještě daleko víc a spameři se půjdou do kouta stydět, jací jsou břídilové, a spamování nechají.

22.4.2008 08:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Hm, moje věta „… se děje ve vzácné shodě s …“ evidentně padla na úrodnou půdu.

Evidentně vůbec.

Bavili jsme se o konfiguraci našeho mailserveru... a tento spam náš mailserver neodesílá ani nepřijímá, tudíš to není tak úplně náš problém.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 09:13 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To je pak ale v rozporu s tvrzením, že se uživatel dozví o odmítnutí e-mailu. Protože jediný, kdo může uživatele o chybě informovat bez rozesílání takového druhu spamu je SMTP relay, který (přímo) používá uživatel. Každý další server už může jedině poslat e-mail se zprávou o chybě, ale zároveň nemá šanci zjistit, zda e-mail skutečně odeslal ten, za koho se e-mail vydává.

22.4.2008 14:52 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Právě proto mám například na mém serveru nastavení takové, že mailserver mail nepřijme od uživatele hned, ale antispamové prostředky použije ještě předtím, že uživateli potvrdí převzetí. Potom pokud zjistí, že se jedná o spam, vygeneruje do spammerem uskutečněného spojení chybový kód: Mail nebyl přijat, klasifikován jako spam. Tedy, pokud uživatel tento server použil jako svůj relay z klienta, klient obrdžel chybovou hlášku, aniž by se cokoliv odeslalo. Pokud nám to předává jiný mailserver, je zcela v jeho kompetenci s tímto mailem udělat, co uzná za vhodné. Je to také jeho problém, spam si přijal, ať si ho také nějak zpracuje. Pokud je to mailserver od ISP, vygeneruje uživateli hlášku. Ftip je v tom, že tento mailserver může vědět, kdo se přihlásil, jeho ověřovací údaje a poslat chybu na správné místo. Tedy pravděpodobně uloží do lokální schránky mail pro uživatele, že poslední zpráva nebyla doručena. Nebo to může ztopit, pokud neví, od koho to doopravdy přišlo. Pointa je v tom, že běžné spamy se připojují přímo na cílové servery a lejou přímým spojením SMTP email přímo adresátovi. Timto jsou tito regulérně odmítnuti, pokud se takto přímo připojuje člověk s programem, je mu vrácena ihned hláška, že mail nebyl odeslán.

22.4.2008 18:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tohle by fungovalo jedině v případě, že by uživatel ze svého poštovního klienta posílal e-mail přímo na váš server. Jakmile je mezi ním a vaším serverem alespoň jeden relay (což je téměř vždy), přestává to vaše řešení fungovat. Protože ten relay přijme e-mail a uloží jej do fronty. Teprve někdy později se jej pokusí z fronty odeslat a vy jej odmítnete. V tom okamžiku ten relay ale už dávno neví, kdo po něm to odeslání chtěl – leda že by si u každé zprávy ve frontě pamatoval i to, odkud se tam ten e-mail vzal. Znáte nějaký mail server, který si tyhle informace ve frontě ukládá? Tedy kromě obálkového odesílatele, což je ta informace, ovšem dnes na ní nelze spoléhat.

Ano, nakonfigurovat mailserver tak, že „když to ostatní budou mít udělané tak, jak chci, aby to měli, bude to nádherně fungovat“ je snadné. Ovšem nakonfigurovat mailserver tak, aby se vám ostatní přizpůsobovat nemuseli a stačilo se řídit RFC, to už je něco jiného.

22.4.2008 21:27 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

leda že by si u každé zprávy ve frontě pamatoval i to, odkud se tam ten e-mail vzal.

To si samozřejmě pamatuje. A nejen to, přidává tuto informaci do hlavičky mailu.

Tedy kromě obálkového odesílatele, což je ta informace

Což je úplně jiná informace, která s tím nemá nic společného.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 21:50 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Jenže to není zaručená informace o tom, kde se ten e-mail vzal. To je informace, kterou o sobě řekne odesílatel a server ji (zpravidla) nijak nekontroluje. Takže když tam když tam vir nebo spammer napíše vaši adresu, budete chtít dostat e-mail o nedoručení od všech serverů, přes které se ten vir/spammer pokoušel něco odeslat?

23.4.2008 22:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To jsi asi reagoval na někoho jinýho než na mě.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 20:46 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Právě proto mám například na mém serveru nastavení takové, že mailserver mail nepřijme od uživatele hned, ale antispamové prostředky použije ještě předtím, že uživateli potvrdí převzetí.

Parse error.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 20:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To je pak ale v rozporu s tvrzením, že se uživatel dozví o odmítnutí e-mailu.

Není.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 21:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Někde mezi uživatelem a vaším serverem je nějaká fronta, kam se sypou e-maily. V té frontě je e-mail, čas, kdy se má e-mail znovu odeslat a počet neúspěšných pokusů o doručení e-mailu. K té frontě někdo přijde, vylosuje nějaký e-mail a pokusí se jej doručit na váš server – ten e-mail odmítne. Co může dotyčný „obsluhovač“ fronty udělat? Dát e-mail zpátky do fronty, nebo jej zahodit. Jedinou informaci o původním odesílateli, kterou má ten „obsluhovač“ fronty k dispozici je to, co odesílatel napsal do hlaviček e-mailu a obálky. A na to se nelze spoléhat, protože tam si odesílatel (vir) napíše, co ho napadne.

Takže byste musel u každého e-mailu ve frontě evidovat nějakého „zaručeného odesílatele“. Tedy ne u každého, ale alespoň u těch e-mailů, u kterých máte nějakou páku, jak to zjistit – takže třeba u e-mailů z vlastní sítě, pro které děláte relay. Tam můžete vyžadovat autorizaci. Jenomže vám nestačí nějaké autorizační údaje, vy potřebujete e-mailovou schránku. Takže třeba ISP by poskytnul relay svým zákazníkům s tím, že se budou přihlašovat jménem a heslem a do nějaké databáze toho ISP zapíšou ke svému jménu také e-mail, na který se mají doručovat zprávy o chybách. Takže uživatel Pepa Novák u svého ISP bude mít uvedeno, že chybové zprávy se mu mají posílat na e-mail novak@example.com. Pepa Novák bude odesílat přes relay svého ISP e-mail, přihlásí se jménem a heslem, server si ho najde v databázi a k e-mailu ve frontě poznamená, že pokud by došlo k chybě, má se chybová zpráva odeslat na novak@example.com. Při troše štěstí se bude relay ISP bavit přímo s cílovým serverem, ten e-mail odmítne hned během SMTP sezení, takže relay se podívá, kam má poslat chybovou hlášku a odešle jí. Teoreticky to bude v tomhle ideálním případě fungovat. Ale už jste někdy viděl takovéhle řešení použité v praxi?

22.4.2008 21:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

A na to se nelze spoléhat, protože tam si odesílatel (vir) napíše, co ho napadne.

Takže tebe trápí, že autor viru nedostane zprávu o nedoručení?

No to je mi líto...

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.4.2008 21:52 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Opravdu jste tak naivní, že si myslíte, že do adresy odesílatele píše autor viru svou adresu? Nenapíše, vybere si náhodně nějakou adresu z kontaktů na počítači, kde vir zrovna operuje, a tu tam přidá. Takže to bude třeba vaše adresa. Opravdu chcete dostávat chybové zprávy o tom, že někdo, kdo vás má v kontaktech, má zavirovaný počítač?

23.4.2008 22:51 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Opravdu jste tak naivní

Odpověz si sám.

Ad ostatní: to řešíš úplně jiný problém než o který šlo a než který se týká kontroly reverzních záznamů na cílovém serveru.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

23.4.2008 14:22 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Ano, viděl. Protože obecně je to problém a problémy které popisujete existují, ale ideální řešení na ně ne, používá se zpravidla způsob, že se přihlásíte k svému providerovi emailové schránky a pomocí autorizace v SMTP potvrdíte, že to jste vy. Odpověď se prostě a jednoduše napíše do schránky uživatele, který se přihlašoval. Tu odesílající server ví, protože si ji obvykle sám přidá do hlaviček odesílaného mailu, takže až jej zpracovává, na tuhle informaci se spolehnout může, protože si ji přidal sám, pokud už tam byla, tak si ji zrušil/označil jako nedůvěryhodnou další hlavičkou. Většina ISP nabízí uživatelům i lokální email, potom na tento lokální email přijde chyba, ne na zpáteční adresu.

Zkrátka, server přebírající mail od uživatele údaje znát může, další servery v síti jsou obvykle cílového uživatele, takže pokud odmítne ten, mám adresu skutečného uživatele, kterému lokálně uložím chybovou zprávu. A relaye obvykle přeposílají jenom z důvěryhodné sítě, kde se předpokládá, že odtud podvržené maily nechodí. Aby nepřeposílaly spamy, mohou si přeposílané zprávy kontrolovat samy. Pokud to dělají s rozumnou účinností, šance, že mě odmítne druhý server se minimalizuje. Relay prostě odpovídá za to, že vadné maily odmítne sama a uživatel to tedy (opět) ví. To že server nepřeposílá bordel ale maily s důvěrohodnou zpáteční adresou zajišťuje správce nasazením filtrů a administrativním nařízením pro jeho síť. Potom systém jako celek funguje obstojně i bez černých děr pro uživatele. Samozřejmě v některých případech se přesto e-mail prostě ztratit může, ale s tím se hold už musí počítat.

23.4.2008 15:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Pokud jde o nějakou firemní síť, pak relay může za odeslané e-maily zodpovídat a může odesílatelům rozumně doručovat chybové zprávy. Jenomže pavlix neustále doporučuje, že by se firemní relay raději neměl vůbec používat a měl by se používat relay ISP. A ten už nemá moc kontrolu nad tím, jestli přes jeho server nejde spam. Nějaká administrativní omezení si nemůže moc dovolit, protože by měl nějaká omezení, která konkurence nemá. Za druhé sice může doručovat chybové zprávy do schránky, kterou má zákazní u něj – ale kolik lidí takové schránky vybírá? Ano, zodpovědnost ISP za spam pocházející z jeho sítě je podmínka pro jeden ze způsobů, jak se spamem zatočit. Ale zatím to tak nefunguje. Těžko můžete předpokládat, že se zrovna vám v tomhle všichni přizpůsobí. Zvlášť když je tenhle typ boje proti spamu naprosto neúčinný. Vzhledem ke spoustě antispamových řešení si dnes konečný uživatel přečte promile spamu, který mu byl určen – a spammerům se to pořád vyplatí. Postavit jim do cesty filtr, který 60 % spamu propustí je k smíchu.

23.4.2008 22:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Jenomže pavlix neustále doporučuje

Lžeš.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.4.2008 07:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Aha, tak to pardon. Takže každý má mít svůj vlastní relay server. Kvůli pavlixovi na něm navíc musí mít nějaký reverzní záznam (kvůli některým dalším dokonce „ne ošklivý“ reverzní záznam). To se zejména u dynamicky přidělovaných IP adres dobře realizuje.

24.4.2008 10:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Aha, takže jednou jsem obviněn z toho, že zakazuju používat vlastní SMTP ve firmě, po druhé z toho, že zakazuju používat SMTP od ISP.

A že kvůli mě se používají reverzní záznamy na mailu :D. Teda já musím být slavný :).

Na dynamicky přidělovaný IP adrese nemá mailserver co dělat :D. Pokud chceš provozovat vlastní mailserver, je dobrý mít statickou adresu, MX záznam, A/AAAA záznam, reverzní záznam a dobře nakonfigurovaný mailserver. Nic z toho není problém sehnat.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.4.2008 14:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Pokud chceš provozovat vlastní mailserver, je dobrý mít statickou adresu, MX záznam, A/AAAA záznam, reverzní záznam a dobře nakonfigurovaný mailserver.

A hodinky s vodotryskem potřeba nejsou? K odeslání e-mailu není nic z vyjmenovaného potřeba. A nic z toho neodlišuje server rozesílající spam od serveru rozesílajícího normální poštu. Tak k čemu ty vaše dodatečné podmínky jsou?

25.4.2008 00:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Asi jsi zaspal dobu, když si myslíš, že jsou to naše dodatečné podmínky.

Je milé, že chceš mě a Pihhanovi přiřknout vynalezení těchto věcí. Ale musím tě zklamat, náš vynález to není, je to běžný dnešní standard.

A až vynalezneš způsob, jak filtrovat spam bez heuristiky, dej mi určitě vědět :). Rád se přiučím.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.4.2008 08:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Asi jsi zaspal dobu, když si myslíš, že jsou to naše dodatečné podmínky.
Je milé, že chceš mě a Pihhanovi přiřknout vynalezení těchto věcí. Ale musím tě zklamat, náš vynález to není, je to běžný dnešní standard.

Tak to jistě nebude problém odkázat na nějaký úplný seznam těch dodatečných podmínek, nejlépe i nějak specifikovaných (třeba jako RFC). A určitě tam bude i popsáno, k čemu jsou takové dodatečné podmínky dobré (i když to zvládnu napsat sám – „aby to vypadalo, že se něco dělá“).

A až vynalezneš způsob, jak filtrovat spam bez heuristiky,

Heuristické filtrování spamu znamená analyzovat několik faktorů, zejména obsah e-mailu, a podle toho rozhodnout. Náhodné odmítání různých zpráv nemá s heuristikou nic společného, to je loterie.

25.4.2008 15:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Náhodné odmítání různých zpráv nemá s heuristikou nic společného, to je loterie.

Právě proto se to náhodně nedělá.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 17:36 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To že ty počítače dnes už mají reverzní záznamy běžně asi souvisí s tím, že zrovna ve světě emailu se to docela často vyžaduje. Nevím jaké speciální postupy proti spamu používáte vy, ale já na svém serveru prostě adresy bez reverzů nepřijímám. Co mám dělat, spamu je všude plno, a v podstatě jde o plně legitimní poštu, kterou někdo odesílá někomu a já nemám co mu to nějak zahazovat. Opravte mě, pokud se mýlím, ale nějaký univerzální a 100% funkční metoda nefunguje a není. To co se pro boj se spamem používá je suma bonusů/postihů, kde odesílatele případně jeho zprávu nějak ohodnotíte a podle výsledku odhodnocení pošlete dál.

Na to, že ten kdo to myslí s mailem vážně, je schopen si to řádně nastavit a sehnat/vykřičet si na providerovi základní věci jako reverz a nějakou definovanou IP, nebo použije jako relay mailserver svého providera se jakž-takž spolehnout dá. Motivace je právě v tom, že dokud si nenastavíte něco jako vlastní identifikaci, ostatní se s vámi nebudou moc bavit. Je to blbé, není to ke všem férové, ale je to další krok k rozlišení, co přijímat chci a co ne.

Jestli máte o hodně vychytanější metodu, jak se zbavit spamu, prosím o linky, nebo přímo informaci. Asi bych nebyl první ani poslední, kdo by takovou informaci dostal. Spamassasin je sice super věc, ale nezvládá úplně všechno, co je schopen bloknout z pomocí několika primitivních metod. To nemluvím ani o tom, že u ověřování DNS pošlete jeden paket a počkáte si na druhý, když na zprávu pustíte assasina, tak to bude počítat pěkně dlouho a drtit CPU. Já náhodou v logu nacházím poměrně často zprávu, že byl odmítnut, protože nemá reverzi. Ještě mě to nikdo nereklamoval, a neobjevil jsem v logu zprávu s nepodezřelým subjectem, který by byl takto odmítnut. Takže vážně nevidím důvod, proč takové pravidlo nemít. Ale ne na všem se lidé musí shodnout, že ano :)

19.4.2008 18:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Jestli máte o hodně vychytanější metodu, jak se zbavit spamu

K tomu mám jedině to, že tohle nepovažuju za metodu, jak se zbavit spamu. U mne by to např. eliminovalo ani ne 40 % spamu, takže na zbytek stejně musím nasadit něco jiného. Maximálně bych to mohl použít jako určitou váhu do celkového hodnocení, zda jde o spam – ale jinak mi ten test přijde zbytečný. Kdybych odmítal náhodně 40 % spojení, vyjde to nastejno.

20.4.2008 01:25 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Kdybych odmítal náhodně 40 % spojení, vyjde to nastejno.

To si nemyslím :).

Btw, už jsi psal klukům od abclinuxu, že to maj špatně? :D

Přesněji řečeno... už tě s tím poslali do háje? ;)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 16:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

A pardon, že se pokauju, ale žádný maily se nezahazujou.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 16:16 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

*opakuju

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 15:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Tuto obranu používá například ABCLinuxu.cz.

Ale chápeš to špatně, žádné e-maily se nezahazují. Ony se nepřijmou, tak se nemůžou ani zahodit.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.4.2008 10:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě bych rád uvedl odkaz na službu dns6.org - umožňuje vytvářet velmi jednoduše, rychle a zdarma dynamické DNS hostname (a to jak AAAA, tak A6 a i klasické A pro IPv4). Na některé jednoduché věci se to hodí :-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

10.4.2008 21:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Vypadá zajímavě, chystám se taky vyrobit nějakou jednoduchou službu.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.4.2008 13:29 pepezdepa
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

a kdy se dockame neco o IPv6 only sitich a pristupech na IPv4 sluzby? nejaky TRT apod? To jak nastavit zaklad IPv6 site zna hodne lidi, ale o tom jak vyresit tento problem se uz moc nepise :(

pepa z depa

10.4.2008 21:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

To jak nastavit základ IPv4/IPv6, DNS a další taky spousta lidí neví (dotazy, které dostávám po Jabberu jsou toho důkazem). Umět nastavit IPv6 síť společně s IPv4 mi přijde docela užitečné (aspoň pro lidi jako jsem já).

Pokud jde o nastavování IPv6 sítě, která zpřístupní část IPv4 služeb (třeba podobnou část jako umí NAPT)... to už je jen hraní si s "čistotou" sítě (tj, běží jen to, co se mi aktuálně líbí).

Ať nenechám otázku bez odpovědi, článkem o přístupu k IPv4 službám z IPv6-only sítě se začnu zabývat, až budu mít pocit, že je o něj dostatečně velký zájem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

11.4.2008 21:59 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše link-local adresy

Odpovědět | Sbalit | Link | Blokovat | Admin

Premyslim, jak rozvrhnout IPv6 adresy v mensi siti. Prijde me jako znacne sradani pridelovat /64 rozsah pro point-to-point spoje mezi routery. Uvazuji, ze bych pro rozhrani na point-to-point spoji pouzil explicitne prirazene link-local adresy jako fe80::1 (a tyto adresy pouzil v pripadnych routach). Napada vas nejaky problem, ktery by tohle reseni mohlo mit?

Mate nekdo nejake zkusenosti, jak se programy vyporadavaji s link-local adresama (zejmena mam na mysli nutnost zadavat krome IP adresy i rozhrani)?

12.4.2008 01:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Podle zdrojů se mi zdálo, že takovéto explicitně přiřazené adresy nejsou zvykem. Na druhou stranu v tom problém nevidím.

Pokud jde o aplikace, myslím, že nejlepší je po nich vůbec nechtít link-local adresy používat kromě bonjour/zeroconf a podobných, nebude se jim to bez zadání rozhraní líbit.

Osobně bych doporučil link-local používat kromě speciálních link-local aplikací jen na směrování a pro další aplikace vždy vyhradit globální adresu.

Těším se na zkušenosti jiných.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 16:28 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: link-local adresy

Problém nastane, když nastane problém. Tedy, když uzel s příchozím rozhraním mající jen link local adresu vygeneruje ICMP6 chybovou zprávu a pošle ji zpět odesílateli, tak odesílatel uvidí, že k chybě došlo na adrese fe80:…, což hodně pomůže při hledání příčiny. Navíc se může stát, že takovou chybovou zprávu někdo cestou zahodí, protože link local adresy by se za routerem objevovat neměly.

12.4.2008 16:45 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: link-local adresy

Opravdu se bude mit prislusna ICMP6 chybova zprava (nebo i jakykoliv odchozi traffic z daneho routeru pres dany interface) takovou zdrojovou adresu? V IPv4 by mela - tam se zdrojova adresa standardne nastavuje podle adresy odchoziho rozhrani. Nicmene mel jsem pocit, ze v IPv6 (v Linuxu) jsou nejaka sofistikovanejsi pravidla pro urcovani zdrojove adresy, ktere berou v potaz ruzny scope ruznych adres.

12.4.2008 17:14 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Na to, že by se Linux choval k IPv6 adresám jinak než k IPv4 jsem zatím nenarazil.

Podle mě při komunikaci s link-local adresou používá link-local adresu (nemůže očekávat, že by druhá strana znala jeho globální) a při komunikaci s globální adresou se použije globální adresa toho zařízení.

Pokud na daném zařízení není globální adresa, není tam ani automatická routa.

No a samozřejmě přes ip route jde ledacos přizpůsobit.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 18:31 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: link-local adresy

Na to, že by se Linux choval k IPv6 adresám jinak než k IPv4 jsem zatím nenarazil.

A on snad Linux v IPv4 dela to, co popisujes v druhem odstavci?

12.4.2008 18:57 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Mám za to, že dělá. Ale bohužel teďka nemám čas to otestovat.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 18:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Akorát IPv6 má link-local ve výchozí konfiguraci a jestli jsem dobře četl, tak podle RFC povinně.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.4.2008 17:21 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

"Něco málo" o IPv6 i IPv4 a upřednostňování adres se píše v RFC 3484.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.4.2008 21:31 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: link-local adresy

Jo, je to tam:

It is RECOMMENDED that the candidate source addresses be the set of unicast addresses assigned to the interface that will be used to send to the destination. (The "outgoing" interface.) On routers, the candidate set MAY include unicast addresses assigned to any interface that forwards packets, subject to the restrictions described below.

Takže situace, kdy jediná globální adresa je na loop backu nebo dummy rozhraní je oficiálně posvěcena.

Ovšem situace, kdy router nemá žádnou globální adresu (kdo by to dělal, když by přišel o možnost přihlásit se tam po síti), nemá žádné uspokojivé řešení.

Takže se omlouvám za zmatení. Zdá se, že koncept globální adresy náležící stroji a nikoliv rozhraní i někdo jiný považuje za rozumný.

13.4.2008 21:45 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Taky už se mi párkrát jedna hodila, ale většinou jsem používal adresu prvního lokálního zařízení... ta adresa se pak routě přidělit jako preferovaná zdrojová adresa, ne?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.4.2008 23:08 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: link-local adresy

K čemu vám bude linková zdrojová adresa adresovaná globální adrese? V lokální síti to možná lze uhlídat, ale celosvětově? To už tam rovnou můžete dávat nespecifikovanou adresu. Nehledě na to, že spousta lidí vám takový pakety bude zahazovat. Jak pak bude fungovat Path MTU discovery? Jaký bude výstup z traceroutu? (Dosti komický.)

12.4.2008 21:04 lyon
Rozbalit Rozbalit vše Re: link-local adresy

Pres local-link adresy se mi nepodarilo rozchodit OSPF6. Pouzival jsem tedy jen implicitni automaticke adresy, s rucne nastavenymi jsem neexperimentoval, ale pokud by nekdo vedel jak na to, rad bych si usetril praci s rozdelovanim prefixu na paterni interfaces. ;)

13.4.2008 02:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: link-local adresy

Na IPv4 se to přes link-local adresy nedělalo, tak nevím, jak na IPv6. Podíval bych se na to, ale nemám testovací síť.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.4.2008 16:27 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: link-local adresy

Obávám se, že dokud chcete udržet alespoň nějakou stabilitu adres, tak zrovna routery je vhodné číslovat ručně. Protože pokud chcete provádět registrace reverzních dns záznamů pro adresy routerů, tak to budete muset přepočítávat při výměně síťovky. Prostě adresy dedikovaných routerů a serverů je stejně jako na ipv4 vhodné nastavit natvrdo, aby tam nebylo cosi náhodného. Pravda, práce to je navíc, ale obvykle jednorázová, tak se to snad nějak přežije.

15.4.2008 20:17 David Rohleder
Rozbalit Rozbalit vše Re: link-local adresy

Já to tak mám a funguje mi to bez problémů. Včetně OSPFv6 (ikdyž to běží jen na ciscách).

17.4.2008 19:59 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: link-local adresy

Snad OSPFv3, ne?

17.4.2008 22:48 David Rohleder
Rozbalit Rozbalit vše Re: link-local adresy

no jo, chybička se vloudila. :-)

13.4.2008 23:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

Používání linkový adresy v lokální síti nejde uhlídat, pokud lokální sít neříkáš pouze jednomu ethernetovému segmentu.

A paket s adresamy s různým "rozsahem" (scope) je podle mě nesmyslný už sám o sobě, pokud se hry neúčastní NAT.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.4.2008 10:45 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Špatně vidím. Nějak jsem si domyslel, že používáte linkovou adresu prvního rozhraní. Samozřejmě, že použití globální adresy je naprosto v pořádku.

Pokud jde o to, jestli globální adresu přiřazovat loop/dummy zařízení a nebo skutečnému zařízení, tak je zde ten rozdíl, že skutečné rozhraní nemusí být vždy „up and running“ a tudíž se může stát, že zařízení nebude existovat (třeba z důvodu údržby), z něj žádnou adresu nedostanu (stateless) nebo adresa bude tentative (statická linkou neověřená).

Proto si myslím, že mít globální adresu na nečem trvalém je rozumná věc.

15.4.2008 22:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

S tím bych docela souhlasil.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.4.2008 23:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

že by nefungovaly odpovědi?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.4.2008 23:35 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IPv6 - správa vlastní podsítě

Odpovědět | Sbalit | Link | Blokovat | Admin

hmm, snad to brzo opraví

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.4.2008 00:09 Pihhan | skóre: 11
Rozbalit Rozbalit vše Přepínání aktivních partition

Odpovědět | Sbalit | Link | Blokovat | Admin

Co přesně chcete udělat s OSPF6? Jako registribuce jakýchkoliv linkových adres je zcela proti logice, když linková adresa nesmí opustit svoji linku (tedy routerem neprochází) a OSPF6 má za úkol šířit routovací informace (tedy kudy do jiné sítě, což linková adresa vědět nepotřebuje).

Já na síti nepoužívám vůbec radvd, ale nastavuju to přímo přes zebru, a kupodivu to tak nějak funguje. ospf6d používám taky, ale prostě na to potřebuju jenom globální rozsahy, šířit linkové nedává smysl. Ono teda se tam linkové taky projevují, protože jako default routa se používá linková adresa na router, nikoliv jeho globální adresa. To ovšem nic nemění na faktu, že router by asi mít globální taky měl mít, a odesílající počítač ji mít musí, aby mu mohla vůbec být doručena odpověď.

Asi jsem moc nepochopil, v čem máte problém. Jestli tu hustím samé samozřejmosti, tak se omlouvám :)

14.4.2008 09:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

to Pihhan:

Hezky shnuto...

Ty nastavuješ přes zebru i koncový stroje? Protože to jsou jediný, pro který je radvd dobrý.

Přes ospf má opravdu smysl šířit jen informace o globálních nebo lokálních prefixech (nikoliv linkových), ale netuším, jestli se při routování ze souseda na souseda uplatňují globální, lokální nebo žádné (přecejenom nás zajímá jen zařízení, kudy paket poslat, zdrojová adresa je naše a cílová adresa je neměnná).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.4.2008 16:19 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Ano, v démonu zebra lze nastavit u interfacu (v editačním módu pro určený interface) něco typu no ipv6 nd-suppress a k tomu ipv6 nd prefix 2001::.../64, a funguje to stejně jako s radvd. Píšu z hlavy, přesný zápis si nastudujte v dokumentaci zebry. Nevím co tam jde dávat za parametry, ale pro přidělení adresy pomocí autokonfigurace s prefixem to postačuje. DNS to přidělit nijak neumí, ale to mělo snad i radvd nějak hodně experimentální a nedoporučované.

15.4.2008 22:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

No.. hodně experimentální a nedoporučované, spíš bych řekl nové.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.4.2008 20:32 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

tazatel měl patrně na mysli, že nemusí adresovat globálními adresami jednotlivé sítě mezi směrovači. Což opravdu nemusí, OSPFv6 komunikuje po link-local adresách, ale v LSA si předává pouze identifikaci směrovače (čtyřbajtové číslo, často shodné s IPv4 adresou) a pak ty sítě s nelokálním významem.

IMHO je dobré nepoužívat globální adresy pro spojovačky mezi směrovači, zbytečně si tím budete plnit tabulky. Pokud chcete statické adresování, pak se dají použít staticky přidělené link-local adresy.

15.4.2008 22:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Mě to statické adresování na link-local přijde trochu zbytečné.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

16.4.2008 09:14 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

alespoň nemusíte měnit statickou routu při každé výměně routeru nebo síťové karty.

16.4.2008 13:48 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Potom by mě docela zajímalo, co bude hlásit traceroute6, když budu trasovat takový spoj. Každopádně dělat staticky link-local adresy mě fakt přijde jako blbost. Pokud se tu bavíme o routování ve spolupráci s ospf6, tak tam si případnou změnu adres do routování zanesou démoni automaticky a mělo by to fungovat bez jakékoliv manuální konfigurace, kromě snad povolení interfacu, že přes něj chci ospf používat. Což se minimálně v quaze nedělá pomocí adresy, ale jména interfacu.

16.4.2008 15:52 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

traceroute6 bude hlásit nějakou globální IPv6 adresu (třeba adresu loopbacku).

Jinak se bavíme o rozhraní mezi poskytovatelem běžícím OSPFv6 a zákazníkem, kterému směruji nějakou síť. Při každé výměně routeru na straně zákazníka by poskytovatel musel měnit statickou routu, což by bylo jistě velmi pohodlné...

17.4.2008 13:06 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Jistě, tohle je holý nesmysl a v tomto případě určitě bude poskytovatel přidělovat statickou adresu. Viděl bych to tak, že s nějakým prefixem dostanu jednu statickou adresu a s tímto prefixem lehce modifikovaným budu mít svůj subnet. To by mě docela zajímalo, jak případné subnety řeší sítě, které už ipv6 nabízejí nativně. Náš provider to teda rozhodně není :(

17.4.2008 16:59 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

IMHO dostanete jednu /64 dovnitř a spojovačka bude na link-local. Tak je to správně.

17.4.2008 21:55 Pihhan | skóre: 11
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Jenže link-local je tak akorát na nasrání, pokud chcete na tom routeru něco případně provozovat, nebo se třeba připojovat vzdálenou správou někde z internetu. Prostě pokud chcete mít odchozí službu přímo na tom routeru, není problém si ji spárovat s jednou staticou adresou s prefixem 128. Protože zjištovat, co a jakou MAC si změnil nějaký jouda doma a poslouchat kvůli tomu telefonáty na servisní lince je nesmysl, stejně jako vázat rotuování na konkrétní mac. Kromě toho z pohledu poskytovatele to asi p2p nebude.

17.4.2008 22:47 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

On ten router u uživatele má ovšem i jednu adresu z vnitřní sítě, takže je globálně adresovatelný. Jak si to uživatel u sebe udělá je jeho věc.

19.4.2008 16:07 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Jednu nebo více... ale taky bude mít jednu globální na zařízení ven a máš vyřešeno. akorát je dost pravděpodobný, že si na ní nezměníš reverzní záznam, takže budeš chtít stejně používat jinou. Ale to už je tvoje věc, jak si to zařídíš :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 20:02 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Jenomže tento způsob zbytečně plní OSPF tabulky. Ne, že by to nešlo.

19.4.2008 15:35 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

No... já myslím, že byla řeč o standardním způsobu... ne o nějakých malých poskytovatelích, co ani nedávaj /48.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 20:01 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

? /48? To je vtip? Takový rozsah mají velké sítě, nevidím absolutně žádný důvod, proč dávat koncovým zákazníkům něco takového.

19.4.2008 20:03 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Tím koncovým zákazníkem myslím nějakého Frantu Uživatele s domácí sítí.

20.4.2008 01:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

No... Franta Uživatel dostane /64, samozřejmě :D.

Protože je to pro něj lepší.

A dostane předkonfigurovaný router, který mu tu /64 rozroutuje.

nemá smysl dávat /48 někomu, kdo neumí stavět síťě a připojí k routeru dva počítače :D.

Z tohohle pohledu berte můj příspěvek dole s rezervou :). Ten je spíš z pohledu člověka, co má maličko větší domácí síť, kde ten router má několik děr, ze kterých vedou kabely nezávislých rozsahů oddělených firewallem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 01:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

To naštěstí není vtip. Nebo si myslíš, že náš jeden server je velká síť? :D.

P.S.: Já osobně nevidím důvod, proč vůbec dávat koncovým zákazníkům nějakej internet... vždyť si můžou zaplatit pobyt v internetové kavárně, že? :D

Pardon, trošku přeháním, ale /48 je rozsah, který vám dá kterýkoliv větší ISP. A dá vám ho bez okolků, protože jakmile se mu začne plnit jeho rozsah, dostane automaticky přidělený další.

Samozřejmě, pokud jde o místního wifi providera, který je zákazníkem "velkého" providera, tak vám /48 nedá.... protože je sám považován za "koncového zákazníka" a tudíž má sám /48, tak vám dá třeba /56, když je hodný... nebo /64, když je mu to jedno.

Btw... /48 rozsahů je pořád teoreticky víc než je počítačů v šedesáti tisících celých "IPv4 Internetech". Kromě takovéhoto obrovského nárůstu byly ještě provedeny administrativní kroky k zajištění široké dostupnosti internetu.

Doporučuju se podívat na to, jaký význam se přisuzuje jednotlivým částem adresy... dva bajty mezi /48 a /64 jsou určeny k místnímu rozdělení na straně zákazníka.

Nikdo si samozřejmě nedělá iluze... někdo holt dostane /64 (jedna automaticky konfigurovaná síť nebo spousta "nestandardně" agregovaných), někdo /128 (jedna IP a konec), což doufám moc lidí nepotká, že by dostaly pro celou síť jednu IPv6, konkurence snad zafunguje :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.4.2008 08:53 David Rohleder
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

/128 snad ne, to by musel dovnitř sítě nasadit ten škaredý NAT, což se nám nelíbí.

Jinak celkem souhlas.

20.4.2008 11:09 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

No... síť se agreguje až na /128 :).

Třeba já mám /48 přes tunel, rozdělený na několik místních sítí (/64) a koncové počítače dostanou /128.

Takže pokud bude poskytovatel počítat jen s jedním zařízením na konci, tak nemá důvod dávat víc. V tomhle případě to půjde obejít zase jenom nějakým polovičatým řešením typu proxy nebo NAT (princip je stejný, použít počítač, který na internetu je, k dosažení služeb).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 15:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Já jsem tuším viděl řešení stejné jako u tunelů. Propojovací IP adresa ven... a subnet směrovanej na ní. Nedávno jsem to viděl i na IPv4.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.4.2008 15:37 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Přepínání aktivních partition

Zapoměl jsem upozornit, že ta IP adresa není z toho rozsahu.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej: