спецы из одной глобальной конторы
2015-Mar-26, Thursday 11:55![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ypqпишут:
We will manage IP addresses as necessary to secure, expand and manage the Directory Server. Please ensure that your connection to the Directory Server is through the DNS address only, and IP addresses are not included as part of your firewall / security configuration.
типа, у нашего супер-пупер сервера внезапно может смениться ip, так что, если хотите, чтобы система внезапно не встала, пропишите в acl на вашем fw наш hostname, а не ip-address.
- во-первых, контора, вроде, не какая-то нищебродская, чтобы пользоваться динамическими адресами.
- во-вторых, как они себе представляют работу fw? вот пришел пакет, fw его анализирует и обнаруживает у себя в acl имя. он что, должен сначала допросить ДНС, дождаться ответа итд? а пакеты прилетают по 300 штук в секунду - это 300 раз в секунду надо ДНС опрашивать? ну а вдруг ip поменялся?
- в-третьих, ОК, можно ресолвить имена в acl в момент загрузки. тогда как часто наш fw должен перезагружать такой acl? я считаю, что нет смысла это делать чаще, чем раз в сутки. но с такими темпами мне проще исправить acl ручками - без всякого использования ДНС.
We will manage IP addresses as necessary to secure, expand and manage the Directory Server. Please ensure that your connection to the Directory Server is through the DNS address only, and IP addresses are not included as part of your firewall / security configuration.
типа, у нашего супер-пупер сервера внезапно может смениться ip, так что, если хотите, чтобы система внезапно не встала, пропишите в acl на вашем fw наш hostname, а не ip-address.
- во-первых, контора, вроде, не какая-то нищебродская, чтобы пользоваться динамическими адресами.
- во-вторых, как они себе представляют работу fw? вот пришел пакет, fw его анализирует и обнаруживает у себя в acl имя. он что, должен сначала допросить ДНС, дождаться ответа итд? а пакеты прилетают по 300 штук в секунду - это 300 раз в секунду надо ДНС опрашивать? ну а вдруг ip поменялся?
- в-третьих, ОК, можно ресолвить имена в acl в момент загрузки. тогда как часто наш fw должен перезагружать такой acl? я считаю, что нет смысла это делать чаще, чем раз в сутки. но с такими темпами мне проще исправить acl ручками - без всякого использования ДНС.
