Haftasonu hasta olmam ve cep telefonu ile yazmam nedeni ile yeterince
bişeyler yazamadım. Az önce Özgür Bey'e de teşekkür etmekle yetindim ama
listeden başta özür dileyerek sözlerime başlıyorum.
İlk attığım mailde yalnızca ISP'lere ait outbound DNS ve SMTP için
kullandıkları ip aralıklarını bilen veya bunların daha önce toparlandığı
listeleri bilenler varmı gibisinden sormuştum. Bazı yanlış anlayan
arkadaşlar (ki emeklerine teşekkür ederim) ISP'lerin clientlarına
dağıttıkları ip adreslerinin bir bölümünün listesini gönderdiler. Bazı
arkadaşlar ise ısrarla DNS ve firewall ilişkisi ve kurumların değişken
ip aralıklarından bahsettiler. Kapalı bir soru olsa neden ihtiyaç
duyduğumun sorulmasını anlarım. Lakin açık ve net bir soruyu dolandıra
dolandıra bambaşka bir yere çeken bir iki arkadaşın bu ummalı
irdelemelerini bir türlü anlayamadım.
Bakınız adam sayfasında yayınlamış,
http://mail.live.com/mail/ipspace.aspx
Şimdi; bildiğim ve trafiğin %90'ınını oluşturan ve spam veya DOS
yapmayacaklarına güvendiğim büyük şirketlerin ip adreslerine esnek
kurallar yazarak ve geri kalanlar için toplam connection, rate limit,
shaping vs.. belirlemek sureti ile iç networkümü hafifletmek istememin
ne gibi bir kötü yanı var? Bu neden garipsenebilir? Ya da gerçekten çok
mu saçma? Benim anti-spam vb. yazılımlarım hotmail, google, yahoo,
mynet, ttmail, turksat gibi kurumların mail hizmetlerini kullanan
kullanıcıların spam yapıp yapmadıklarını denetlemekle neden uğraşsın?
Hele hele birden çok makine var ve bunların hepsi ayrı ayrı buna
uğraşacaksa neden bilinen sunucuları ortak listelerde içerideki
sunucularıma ve ön taraftaki IPS'e öğretmiyeyim? En basitinden onların
trafiklerini irdelememkle bile bana işlemci ve ram kazandırırlar.
Yurt içi ve yurt dışı DNS sağlayıcıların dışında kalanlar için de durum
böyle. Benim networküm yettiği sürece milyonlarca session kaldırabilecek
bir FW, IPS/IDS yapım varsa neden içerideki makinelerimin patlamasını
engelleyecek böyle bir çözüme yönelmiyeyim? Trafiğimin %80'i yurt
içindeyse ve yurt içindeki ISP'leri kullananların kullandıkları DNS
sunucuların outbound ip adreslerini esnek kurallar ile diğerlerini ise
limitli kurallar ile iç networkümü korumak istememin neresi garip?
DNS fw arkasına alınır. Bind dns için bir miktar kod geliştirdim (bir
ISP için özelleştirme ve clustered bind diyeyim) ve az çok nasıl çalışır
bilirim. Eğer cache sunucunuz varsa söylenilenlere katılırım. .com
admini veya bir ISP admini olaya cache sunucu olarak bakar. Milyonlarca
kişi gelir cache sunucuya sorar. Hal böyle olunca heryerden dns isteği
kabul etmek zorundasınızdır.
Lakin benim gibi zone tutanlar için mühim olan sadece cache
sunuculardır. Sokaktaki vatandaş değil. Ve cache sunucuların dışındaki
UDP/TCP 53 isteklerin kısıtlanması veya engellenmesi kadar
mantıklı-makul birşey ben göremiyorum.
Bu IP'leri sormamın acayip garip birşey olduğunu düşünmeye başladım.
Gerçekten sorun bende demekki! En basitinden meraklandım diyelim ve
insanlık namına sordum kabul edelim. Haaa o zaman da listenin sahipleri
hemen "zinhar! burası linux listesi!" diye kükreyeceklerdir.
Konunun buralara geleceğini tahmin edememek yine benim eşşekliğim.
Lütfen kimse cevap yazıp daha da ortamı germesin, rica ediyorum.
Not: Google, Mynet, Yahoo, Yandex, TT, Turksat vs. ip listelerim var.
Ayrıca konu hakkında tüm ISP'lerden bilgi paylaşımı talebinde bulunacağım.
Bunları isteyenlere özelden paylaşacağım (Normalde buradan paylaşacaktım
ama kendi eline dahi geçmesini mahsurlu sayabilecek arkadaşların eline
geçmemesi için buradan yayınlamıyorum).
Saygılar,
--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
