© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Thu, Jul 24, 2003 at 02:11:38PM +1000, Peter Ross wrote:
> On Thu, 24 Jul 2003, Bernd Walter wrote:
>
> > Wenn es dir ums Balancing geht, dann brauchst du auch eindeutig
> > getrennte queue Platten am besten auch lokale - dann erst kann man
> > über mehrere Maschinen nachdenken.
>
> Billigste mir bekannte Variante:
>
> - vor die Mailserver einen Paketfilter setzen (eine Firewall ist ja eh
> nicht verkehrt;-)
> - Setup neuer TCP-Verbindungen auf dem SMTP-Port "zufaellig" an die
> Mailserver verteilen
Zufällig verteilen kannst du auch per DNS.
Mehr Aufwand ist nur für echtes Lastbasiertes Balancing nötig.
> Ich habe das letztes Jahr mit Linux (iptables/netfilter und random-Modul)
> gemacht.
>
> Aber auch ipfilter kann das (in der Redirectregel einfach die IP-Adressen
> durch Komma getrennt als Ziel angeben, wenn ich mich nicht irre)
>
> ipfw konnte das vor einer Weile noch nicht.. vielleicht jetzt?
ipfw kann es seit es statefull beherscht.
Ist aber ugly, weil statefull immer einen allow macht.
Der Rest geht über Treffer Wahrscheinlichkeiten.
Komplexes Filtern mache ich meistens über ipfw/Netgraph.
Mittels Netgraph kann man sich mal eben schnell einen passenden Filter
zusammenbauen und reinhängen.
> Dadurch hast Du die Last recht gut auf die Server verteilt und brauchst
> Dir um die ganzen anderen Dinge, wenn mehrere Server auf einem
> Datenbestand arbeiten, keine grauen Haare wachsen lassen.
>
> Wenn Du Angst um den Single Point of Failure Paketfilter hast - nimm zwei
> und gib beiden einen MX-Record. Mail ist da ja Gott sei Dank nicht so
> wild.
MX Records nutzt dir nur war für MTA-MTA Verbindungen.
Ein MUA nutzt A Records.
Du wirst also einem Namen 2 IPs zuordnen müssen.
In dem Fall ging es um ausgehende Verbindungen - da kannst du ohne
Zauberei direkt mit dem vorgeschalteten MTA das Balancing machen.
> Ich persoenlich mag soetwas - klein und handlich und robust, weil ohne
> Hexerei mit "abgehangenen" Bordmitteln.
Mag ja klein handlich und robust sein - aber unnötig und vermeidbar.
Fazit: Zusätzliche Fehlerquelle ohne zusätzlichen Nutzen.
Wie bereits erwähnt: ein echtes Lastbasiertes Loadbalancing hätte einen
Nutzen.
> Moechte mal wissen, was der Schweizer Provider betrieben hat, der im
> Heiseticker steht. Alles Mailserver down, alle Mails weg.. Wenn die nicht
> voellig sorglos gewesen sind, kann das eigentlich nur Sabotage sein..
Keine Ahnung, aber mir ist vor Jahren ein Fall bekannt geworden, bei
dem ein Saboteur mit der Axt alle Telco Kabel durchtrennt hat.
Die waren recht lange offline.
Aber obigen Fall kann man wohl auch remote schaffen - viele Hacker
nullen Maschinen, wenn diese sich entdeckt fühlen.
Deshalb sollte man als erste Aktion nach einem entdecken Hack eine
solche Maschine isolieren.
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 24 Jul 2003 - 10:28:36 CEST