локальная зона — да. Тут я не спорю. Более того — безмерно поддерживаю.
Локальная зона, регистрация компов в DNS… Это всё хорошо и правильно.
И я тоже всегда держал локальную зону. Вот только в том случае, когда я решил назвать «внутренний» домен также, как и «внешний» (ака mycompany.com) то потом периодически ловил глюки. По своей-же безалаберности. Но таки ловил. И зарекся.
Какие глюки? Ну ставлю я внешний сервис где-то на внешнем хостинге. называю его service.mycompany.com. Естественно (гы) прописываю его только во внешнем DNS-e. Ибо ко внутренним делам он отношения не имеет. И… не могу добраться изнутри. Ибо внутренний DNS такого имени не знает. А к внешнему уже не идет. Ведь зона-то у него авторитивная. А два раза каждый хост прописывать… да еще на разных серверах… не, не наш выбор.
В общем, признавая, что данный подход таки работает лично я такого внедрять больше не буду. Мне не удобно.
ну да, чем лишние 2 строчки в конфиг, мы лучше лишний внутренний DNS сервак поднимем на тот-же домен, что и внешний. И потом будем глюки ловить :)
Запретить что-то использовать можно. Но нужно-ли?
Про политики домена — это мне вообще смешно читать. :) У меня половина пользователей — макинтошники. И примерно столько-же народу пользуется персональными лаптопами, которые ни в какие домены не входит.
Не, я не спорю, если фирма суровая, корпоративная политика жесткая, всё запрещено и запротоколировано, то… то я все равно считаю, что решение с двойным ресолвингом в данном случае хуже. Оно будет замечательно работать. Оно имеет право на жизнь. В некоторых случаях оно единственно верное (не зря этот самый split horizon вообще придумали). Но в данном случае (один сервер, тот самый контент, что изнутри, что снаружи) — это лишнее.
split horizon dns — это красивое и зачастую даже неплохо работающее решение.
Лично я его не люблюпо разным причинам, но это уже немного другой вопрос.
Мое мнение — если сайт доступен из Интернета как по имени, так и по внешнему IP, то уж из локалки он тем более должен быть доступен. Как по имени, так и по внешнему IP. И не важно какой DNS на данной машине используется. А то бегать за юзерами у которых жестко прописаны гуглевские DNS-ы (а эти настройки не перекрываются инфой с DHCP) мне не хочется.
Ну и таки если уж есть сервак, который так или иначе делает NAT, то лучше там добавить пару правил, чем заморачиваться с split horizon dns.
могу несколько ошибаться, ибо реальную конфигурацию последний раз делал лет 7 назад. Но делал и оно явно работает. Надо только допилить детали будет если не заработает сразу.
w.x.y.z — Это внешний адрес (внешний интерфейс ната и тот IP в который ресолвится zimbra.mycompany.ru)
Таким образом мы пакеты, идущие на внешний адрес изнутри сети заворачиваем обратно на внутренний адрес сервера внутри сети. На этом-бы остановиться, но тогда сервер начнет отвечать напрямую клиенту и tcp работать не будет. Значит надо NAT-ить еще и source. Менять его на адрес шлюза. Да, двойной NAT. Ну и что? У меня 15 лет назад первый пень в качестве фаервола организацию в полторы тыщи сотрудников держал в таком виде :) Да, скорости были не такие, объемы… но тем не менее.
P.S. Порядок правил ната очень важен. Там-же еще другие правила есть. Поэтому надо точно проверять, что пакеты изнутри уходят куда надо с двойным натом, покеты снаружи уходят куда нужно с одинарным натом и и те и другие возвращаются обратно именно так, как надо. Но поверьте, это вполне реализуемо. :)
не надо ничего с DNS-ом делать. Запрос доходит до роутера/ната и возвращается обратно к серверу. Правильно расписанные правила НАТа и всё работает. Да, в какой-то мере это костыль (а что тогда не костыль?), но костыль в единственном экземпляре на сервере и отраженный в документации — это не костыль, а решение. А вот костыль в виде двух разных линков на одну и туже почту на каждом компе — это таки костыль. Который при необходимости одним изменением конфига на сервере никак не лечится.
ОК, юзер 'superadmin' с UID=0 удовлетворяет задаче? И не надо лишних телодвижений админу (зайти под лимитированным юзеров, а потом сделать su/sudo) и прячет админский юзернейм от шаловливых взломщиков.
поменять имя root'a на другое — тоже не велика задача :)
И, кстати, все виндовые инструкции таки одним из пунктов советуют переименовывать Administrator-a. А вот юниксовые root-a переименовывать не советуют, ибо есть куча кривого софта, который ориентируется не на UID, а на имя. Что само по себе очень хреново. Но тоже решается.
Создается юзер типа 'superadmin' с UID=0, а root закрывается вообще везде. И овцы сыты и волки целы и пастухи обкурены.
разница в том, что есть два разных адреса для почты (изнутри и извне). И человеку на лаптопе надо две закладки для почты (одня для проверки на работе, одна для дома). А нахрена? Неужели это проблема забирать почту по внешнему адресу, находясь внутри сети? Ведь трафик не выходит за пределы роутера.
когда найду комп с 207-м аутлуком, то посмотрю.
Просто дома у меня мс-офис только на маке, там Entourage 2008 (маковский вариант аутлука) и настройка куда складывать удаленные, посланные и junk письма вполне очевидна. Думаю, что виндовый вариант не менее функционален.
а Вы аутлук с версии офиса 4.3 обновляли?
нормально он и в Треш письма скидывает и удаленные письма таки удаляет.
Да, и exchange в организациях на десятки тысяч юзверей тоже работает и не падает.
P.S. но я таки предпочитаю обходиться бе аутлуков и эксчейнжей. Не потому, что те плохо работают, просто мне так удобнее и проще. Но ведь мы не об этом, правда?
а использование чужой интеллектуальной собственности в личных целях УК и государство интересовать должно? Или «тут играем, тут не играем, а тут вообще колбасу заворачивали»?
да, но таких наборов 100 штук. Значит на каждый набор из 9-и слов должно уходить не более 3.5 секунд.
А 9! вариантов сложить, отсортировать и выбрать нужный — это таки занимает время.
Я для интереса погонял это решение с разными входными данными. Таки с 9-ю словами проблем нет. С 10-ю на грани. А с 11-ю уже не судьба. Понятно, что от машинки зависит, но в целом так. Решение на грани фола. Но таки решение. И очень хорошее. Ибо простое и в тоже время укладывается в условия.
эээ… «платит сама себе» — это все-таки сильно отличается от «кто-то другой платит Intel-у». Поэтому раздаривать то, что можно продать не очень-то получается :)
А по поводу мышек — за Intel не скажу, у нас от интеля грантов или нет вообще или я о них не знаю (я все-таки немного другим занимаюсь, а не гранты выбиваю), но какие-то гранты от технологических контор были. Просто грант на исследования чего-то там. И тратился этот грант на то, на что было надо лаборатории. В том числе и на мышей.
не знаю как там бабушки с дедушками, а мне экран телефона абсолютно пофик. И думаю, что большинству бабушек тоже. Просто если на нем не играть в игрушки и не писать SMS-ки (а этого таки взрослое поколение скорее всего делать не будет), то экран нужен только для того, чтобы номер увидеть.
А вот цена, что-бы автор ни говорил, важна. Все-таки далеко не всем бабушкам телефоны покупают дети и внуки. Некоторые покупают телефоны себе сами. И если за счет ненужного экрана можно сэкономить половину стоимости, то почему нет?
Если верить статье, то представители «прошедшей эпохи» стали восставать против наступления «новой» только с появлением Интернета.
На самом деле это не совсем так (или даже совсем не так). Было-бы интересна расширить статью информацией о том какое сопротивление испытывала каждная новая технология со стороны более старой.
А в остальном… весело живем, на стыке эпох. Посмотрим куда кривая вывезет :)
в целом не ново, но собрано в одно место очень качественно и донесено до читателя подробно и адекватно. Спасибо. Получил большое удовольствие от прочтения.
не боись. И на мышек Intel тоже тратится. По разным причинам. Может не столь очевидным, как покупка суперкомпьютера (который обычно продается вместе с контрактом на поддержку, так что за модули все равно Intel платит), но тем не менее все равно они работают на себя. Это естественно. Просто им, как и всем остальным толковым конторам, только лучше будет если их клиенты будут богатые и здоровые. А на что потратить этот миллион ради такой цели — это не важно. Можно компьютер подарить, а можно и мышей. Результат-то один, еще один довольный клиент.
Локальная зона, регистрация компов в DNS… Это всё хорошо и правильно.
И я тоже всегда держал локальную зону. Вот только в том случае, когда я решил назвать «внутренний» домен также, как и «внешний» (ака mycompany.com) то потом периодически ловил глюки. По своей-же безалаберности. Но таки ловил. И зарекся.
Какие глюки? Ну ставлю я внешний сервис где-то на внешнем хостинге. называю его service.mycompany.com. Естественно (гы) прописываю его только во внешнем DNS-e. Ибо ко внутренним делам он отношения не имеет. И… не могу добраться изнутри. Ибо внутренний DNS такого имени не знает. А к внешнему уже не идет. Ведь зона-то у него авторитивная. А два раза каждый хост прописывать… да еще на разных серверах… не, не наш выбор.
В общем, признавая, что данный подход таки работает лично я такого внедрять больше не буду. Мне не удобно.
Запретить что-то использовать можно. Но нужно-ли?
Про политики домена — это мне вообще смешно читать. :) У меня половина пользователей — макинтошники. И примерно столько-же народу пользуется персональными лаптопами, которые ни в какие домены не входит.
Не, я не спорю, если фирма суровая, корпоративная политика жесткая, всё запрещено и запротоколировано, то… то я все равно считаю, что решение с двойным ресолвингом в данном случае хуже. Оно будет замечательно работать. Оно имеет право на жизнь. В некоторых случаях оно единственно верное (не зря этот самый split horizon вообще придумали). Но в данном случае (один сервер, тот самый контент, что изнутри, что снаружи) — это лишнее.
Лично я его не люблюпо разным причинам, но это уже немного другой вопрос.
Мое мнение — если сайт доступен из Интернета как по имени, так и по внешнему IP, то уж из локалки он тем более должен быть доступен. Как по имени, так и по внешнему IP. И не важно какой DNS на данной машине используется. А то бегать за юзерами у которых жестко прописаны гуглевские DNS-ы (а эти настройки не перекрываются инфой с DHCP) мне не хочется.
Ну и таки если уж есть сервак, который так или иначе делает NAT, то лучше там добавить пару правил, чем заморачиваться с split horizon dns.
w.x.y.z — Это внешний адрес (внешний интерфейс ната и тот IP в который ресолвится zimbra.mycompany.ru)
iptables -t nat -I PREROUTING -s 192.168.1.0 -d w.x.y.z --dport 80 -j DNAT --to-destination 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.1
Таким образом мы пакеты, идущие на внешний адрес изнутри сети заворачиваем обратно на внутренний адрес сервера внутри сети. На этом-бы остановиться, но тогда сервер начнет отвечать напрямую клиенту и tcp работать не будет. Значит надо NAT-ить еще и source. Менять его на адрес шлюза. Да, двойной NAT. Ну и что? У меня 15 лет назад первый пень в качестве фаервола организацию в полторы тыщи сотрудников держал в таком виде :) Да, скорости были не такие, объемы… но тем не менее.
P.S. Порядок правил ната очень важен. Там-же еще другие правила есть. Поэтому надо точно проверять, что пакеты изнутри уходят куда надо с двойным натом, покеты снаружи уходят куда нужно с одинарным натом и и те и другие возвращаются обратно именно так, как надо. Но поверьте, это вполне реализуемо. :)
И, кстати, все виндовые инструкции таки одним из пунктов советуют переименовывать Administrator-a. А вот юниксовые root-a переименовывать не советуют, ибо есть куча кривого софта, который ориентируется не на UID, а на имя. Что само по себе очень хреново. Но тоже решается.
Создается юзер типа 'superadmin' с UID=0, а root закрывается вообще везде. И овцы сыты и волки целы и пастухи обкурены.
Просто дома у меня мс-офис только на маке, там Entourage 2008 (маковский вариант аутлука) и настройка куда складывать удаленные, посланные и junk письма вполне очевидна. Думаю, что виндовый вариант не менее функционален.
нормально он и в Треш письма скидывает и удаленные письма таки удаляет.
Да, и exchange в организациях на десятки тысяч юзверей тоже работает и не падает.
P.S. но я таки предпочитаю обходиться бе аутлуков и эксчейнжей. Не потому, что те плохо работают, просто мне так удобнее и проще. Но ведь мы не об этом, правда?
А 9! вариантов сложить, отсортировать и выбрать нужный — это таки занимает время.
Я для интереса погонял это решение с разными входными данными. Таки с 9-ю словами проблем нет. С 10-ю на грани. А с 11-ю уже не судьба. Понятно, что от машинки зависит, но в целом так. Решение на грани фола. Но таки решение. И очень хорошее. Ибо простое и в тоже время укладывается в условия.
А по поводу мышек — за Intel не скажу, у нас от интеля грантов или нет вообще или я о них не знаю (я все-таки немного другим занимаюсь, а не гранты выбиваю), но какие-то гранты от технологических контор были. Просто грант на исследования чего-то там. И тратился этот грант на то, на что было надо лаборатории. В том числе и на мышей.
А вот цена, что-бы автор ни говорил, важна. Все-таки далеко не всем бабушкам телефоны покупают дети и внуки. Некоторые покупают телефоны себе сами. И если за счет ненужного экрана можно сэкономить половину стоимости, то почему нет?
На самом деле это не совсем так (или даже совсем не так). Было-бы интересна расширить статью информацией о том какое сопротивление испытывала каждная новая технология со стороны более старой.
А в остальном… весело живем, на стыке эпох. Посмотрим куда кривая вывезет :)