Re: ISDND: Aufzucht und Hege

From: Marc Santhoff <M.Santhoff(at)t-online.de>
Date: Fri, 15 Oct 1999 08:33:23 +0200

Bernd Walter wrote:
>
> On Thu, Oct 14, 1999 at 05:45:06AM +0200, Marc Santhoff wrote:
> > Bernd Walter wrote:
[...]
> > Ich will den isdnd nur zeitweise laufen haben. Nach etwas rumspielen
> > und Dokulesen gehts mit dem ersten Befehl des up-skriptes und dem
> > expliziten löschen der route. Welcher dämon sollte das denn sonst tun?
> >
> Die Route brauchst du nicht loeschen, da durch das Interface sowieso nichts
> durchgeht wenns auf down ist.
> Den isdnd solltest du laufen lassen.
>

Da muß ich zwei Fälle unterscheiden:
1. Einrichtung des Zugriffs normaler User auf's große Netz.
   Ist in Vorbereitung, aber momentan in der Warteschlange, bis ich
   alles im Griff habe.
2. Abholen von Daten 1x täglich von verschiedenen Meßstationen,
   der Verbindungsaufbau kommt von hier. Daran sitze ich grade, und
   da wirklich nur einmal am Tag gepollt wird, braucht der daemon nicht
   ständig präsent zu sein. Am liebsten würde ich ihn via inetd starten.
   Es kann allerdings sein, daß zu weit entfernten Stationen die Verbindung
   über Provideranwahl durch eine Art VPN nötig wird.
Im ersten Fall hast Du natürlich recht, im zweiten nicht unbedingt.

> > > >
[...]
> > Hm, das hieße entweder doch DNS aufsetzen (wollt' ich mir sparen) oder
> > ständig tcpdump laufen haben. Gibt's dadurch andere Probleme, z.B. mit
> > der Systemsicherheit? Wenn nein, käme diese Lösung schon in Frage.
> >
> Naja - es gibt das Argument das bpf ein sekundaeres Sicherheitsproblem
> darstellt.
> Wenn der Rechner einmal offen ist kann man mit dessen Hilfe dann recht haeufig
> mit wenig Aufwand weiter - hier gibt es ohnehin eine grosse Kluft zwischen
> Sicherheit und Debuggingmoeglichkeiten. Ich persoenlich wuerde den Debugging-
> features so oft wie moeglich den Vorang geben.
>
> Ein eigener DNS ist meines Erachtens nach ein zusaetzlicher Schutz.
> Er stellt zwar auch ein Service dar, welcher in gewissem Umfang auch von
> draussen ereichbar sein muss. Aber man kann das auf einen Forwarder reduzieren
> und entsprechend Filtern, dann ist das auch nicht schlimmer als direkte Anfragen
> des Clients. Man hat aber nur noch eine Stelle, welche Anfragen stellt.
>

Ersteres sollte kein Problem sein, da ohnehin nur dialout nötig ist.

Es geht mir logischerweise darum festzustellen, welcher Nutzer wieviele
Einheiten auf sein Konto bekommt, bei den Meßdaten ist das wurscht.
Komisch, das I4B solche Möglichkeit nicht bietet. Wie benutzt Du tcpdump denn
konkret?

Marc

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 15 Oct 1999 - 08:38:49 CEST

search this site