Re: Aktiv-FTP gegen Passiv-FTP

»Juergen P. Meier« <nospam-2005@xxxxxxxx> wrote:
> Rudolf Polzer <divverent@xxxxxxxxxxx>:
> > »Juergen P. Meier« <nospam-2005@xxxxxxxx> wrote:
> >> Wildcard RRs fuer Root-Zonen, die einem nur zur Verwaltung anvertraut
> >> wurden, einzusetzen ist kein technisches sondern ein soziales Problem.
> >
> > Und macht leider ab und zu auch noch Sinn.
>
> Nicht bei einer TLD. Naja, fuer kapitalistisch egoistische Werte von
> "Sinn" vielleicht, aber nur fuer den Profiteur des ganzen: der Firma,
> die uns [neuerdings] u.a. auch ueberall mit Klingeltonwerbung belaestigt.

Ich bezog mich mit "ab und zu" auf Netze außerhalb des Internet - also
"reine" RFC1917-Netze ohne Routing ins Internet.

Nicht auf die Praxis gewisser Firmen wie Verislime.

> > Viel besser wäre natürlich eine Lösung, nach der ein DHCP-Server einem
> > DHCP-Client eine URL zum Anzeigen pushen könnte (für irgendwas muss
> > Bubblehelp unter Windows ja gut sein), statt alle DNS-Namen dahin
>
> Na, der DHCP Server kann das natuerlich wenn du das als
> Vendor-Extension implementierst. DHCP ist so flexiebel. Nur wirst du
> keinen Client finden, der das dann auch auswertet und gleich nem
> Brauser verfuettert ;)

Eben.

> > umzuleiten, um dem User auf diese Art das FM unterzuschieben. Oder
> > wenigstens eine Konvention http://defaultgateway/, die von
> > Betriebssystemen unterstützt wird und auf Serverseite optional angeboten
> > werden soll.
>
> Na, mit einem NATtenden Paketfilter geht das auch ganz ohne
> DNS-manipulation: Einfach alle tcp/80 Connect-Versuche von unregistrierten
> bzw. unbezahlten Clients auf deinen Portal-Webserver tcp/80 umbiegen.

Dazu müssen sie aber DNS-Namen auflösen können, sonst kriege ich nur die
Zugriffe abgefangen, die auf im Browser eingetippte IP-Adressen wollen.

> > Sowas über DNS zu emulieren funktioniert zwar, ist aber EXTREMST
> > unsauber und ich würde das gerne durch eine vernünftige Lösung ersetzen.
>
> Naja, DNS ist in vielen Bezahl-WLANs *die* offene Luecke, durch die
> man bequem und kostenfrei IP tunneln kann. Wenn man sowas also richtig
> machen will, dann kommt man um einen spezialisierten DNS Relay mit
> Protokollenforcement, Ratelimiting, Logging und Log-Korrelation nicht
> herum (die letzteren dienen dazu, IP-over-DNS unangenehm auszubremsen
> bzw. zu erkennen). Solche WLAN Hotspots gibt es auch.

Ich weiß, und genau das wollen wir nicht...

daher der "Fake"-DNS, der alle Anfragen mit 10.0.255.254 beantwortet und
eine niedrige TTL setzt, die aber scheinbar eh kein Resolver beachtet
(als sie dank einer Fehlkonfiguration meinerseits noch auf 86400 stand,
hatten wir trotzdem kein System gefunden, das nach erfolgtem
VPN-Verbindungsaufbau immer noch auf die Portalseite wollte).

> Bei vielen WLANs auch ganz ohne IP-over-DNS Tunnelbohrern, direkt mit
> IP-over-UDP/53 (z.B. mit UDP-basiertenden VPN Programmen).

Genau so eins nutzen wir fürs WLAN sogar ;)

Hauptsächlich, weil WPA noch nicht gut genug unterstützt wird und IPSec
auf Clientseite zu kompliziert einzurichten ist (da muss man sogar je
nach Distribution einen Kernel bauen - hingegen hat tun/tap mittlerweile
jeder Distributionskernel) und uns das Rechenzentrum mit einer eigenen
IPSec-Lösung zeigt, wie man es nicht macht (Nortel Contivity -
proprietäre und unveröffentlichte IPSec-Erweiterung, für die es nur
einen speziellen Client gibt - der aber nur für Windows kostenlos ist
und für Linux 2.6 nicht einmal mehr kompiliert - hinzu kam noch, dass es
scheinbar Kompatibilitätsprobleme zwischen dem Nortel-Windowsclient und
anderen IPSec-basierten Lösungen gibt).


--
Elfen Lied ist gewaltverherrlichend. Vor allem, was da so alles brutalst
niedergemetzelt, grausamst in Stücke gerissen und bei lebendigem Leibe
zerschnitten, zersägt, zerhackt wird... es wäre nicht übertrieben, zu
sagen: "Boldly splitting German composites that no man had split before"
.

Relevant Pages

  • Re: Verkabelung: Eure Meinung ist gefragt
    ... > Beim Arbeiten im Homeoffice ist Kabel-LAN sinnvoller. ... Nichts gegen WLAN, aber nur als portablen, temporären Zweitweg. ... Prev by Date: ... Next by Date: ...
    (de.rec.heimwerken)
  • Re: Mal wieder Pro7/Sat1-Transponder ...
    ... Sonst noch ein DECT in der Nähe? ... WLAN macht nix aus. ... Prev by Date: ... Next by Date: ...
    (de.rec.tv.technik)
  • Re: IBM T23 - der erste Eindruck
    ... >Betrieb gewesen ist:) Es hat lediglich ein paar Fusseln im Rand des TFT. ... WLAN ist bei mir aber mit Prism-Chipsatz. ... Prev by Date: ... Next by Date: ...
    (de.comp.sys.notebooks)
  • Re: Netzwerk aufbauen via WLAN
    ... oder ich verstelle meine Internet sachen und es ... Da steht auch nicht wirklich was von WLAN Routern und so. ... Prev by Date: ... Next by Date: ...
    (microsoft.public.de.german.windowsxp.networking)
  • Re: Best and worst of 2005
    ... Hitch - solide Komödie mit einem wie immer sympathischen Will Smith ... Les Dalton - Til Schweiger ist das Beste an diesem Film. ... Prev by Date: ... Next by Date: ...
    (de.rec.film.misc)