sslug-teknik team mailing list archive

[henrik@xxxxxxx (Henrik St�)]

In <LBEAKJBPPNJHHDHOBDJJOEAGCAAA.lasse@xxxxxxxxx> "Lasse Taul Bjerre" <lasse@xxxxxxxxx> writes:

>Jeg har lavet mig et "hjemme-netværk" med en firewall (Aataro), mailserver,
>web- ftpserver osv.
>Mail-, web- og ftpserver står i en DMZ og det hele virker næsten.
>Men hvis jeg forbinder fra det interne net til en maskine i DMZen tager det
>lang tid at få en forbindelse, når først forbindelsen er oprettet går det
>hele hurtigt (ftp overførsler går med noget nær den maks hastighed man kan
>forvente).

Den almindeligste årsag er DNS-opslag, som timer ud. Sørg for at dine
systemer på det interne LAN som du forbinder fra enten står i hosts-
filen på DMZ-maskinen, eller at reverse DNS fungerer på DMZ-maskinen
så den kan få et hostnavn på LAN-maskinen.

Du kan checke ved at fra DMZ-maskinen at lave en "host 10.1.1.1" (brug
IP-adressen for din LAN-maskine) - hvis det tager lang tid og der til
sidst ikke kommer et svar, er den næsten sikkert at det er problemet.

sendmail er et kapital for sig - den insisterer på at lave DNS-opslag,
selv om maskinerne står i hosts-filen. Den laver også ident-opslag
baglæns, hvilket kan give problemer hvis din firewall blokerer for
ident-opslag fra DMZ til LAN'et (det bør den gøre). Derfor plejer jeg
altid at lave fuld DNS-opsætning for alle maskiner (både forward og
reverse DNS), og enten undlade at bruge sendmail, eller i det mindste
sætte dens timeout for ident-opslag meget lavt (default er vist 30
sekunder) - det rettes i sendmail.cf et sted.
-- 
Henrik Storner <henrik@xxxxxxx>