Multiple PTRs for the same IP

This is an answer to the frequently asked question “Why should I avoid Multiple PTRs for the same IP?” by Mark Andrews of ISC.

They are not a good idea because they don’t scale. In the
past large web hosters attempted to put a PTR record for
every virtual site on their servers. This ends up exceeding
the limits of normal query resolution support. You get
truncated TCP responses. You have to resort to AXFR to
retrieve the PTR records.

The DNS does not impose a order on returned records. If you
have multiple PTR records and you are trying to do access
control by name the application has to either list all the
names (if it looks at h_name) or try all the aliases. Not
all lookup mechanism supply all the names which inturn
leads to maintenance issues on the access lists.

Think of PTR records in the reverse tree as returning the
canonical name of the machine. Usually this would be the
name the machine knows itself as (fully qualified). If you
do this you won’t break the API’s for returning the name of
the machine based on the address.

Enable Multiple HTTPS Sites For One IP

Τόσο καιρό ξέραμε πως δε γίνεται να έχεις πολλαπλά https sites στο ίδιο IP, για τεχνικούς λόγους..

Απ’ότι φαίνεται όμως, ενεργοποιόντας TLS extensions στο web server όλα γίνονται!

Το μόνο που μένει είναι να αποκτήσει ο περισσότερος κόσμος browsers που να υποστηρίζουν TLS extensions. Αυτή τη στιγμή υποστηρίζουν οι

  • Firefox 2.0 or later
  • Opera 8.0 or later
  • Internet Explorer 7 (Vista only, not XP)

Syzefxis DNS Views per VPN

Το ΣΥΖΕΥΞΙΣ είναι ίσως το μεγαλύτερο δημόσιο έργο δικτύωσης στην Ελλάδα, αφού συνδέει περισσότερους από 2000 δημόσιους φορείς σε όλη τη χώρα. Εκτός από τις 6 γεωγραφικές νησίδες (τηλεπικοινωνιακά διαμερίσματα) , είναι χωρισμένο και λογικά σε 4 MPLS VPNs [VPN-1 Νομαρχίες/Δήμοι/ΚΕΠ, VPN-2 Νοσοκομεία/Κέντρα Υγείας, VPN-3 Διαχειριστικές Αρχές, VPN-4 Στρατολογίες].

Το DNS του ξεκίνησε «κλασικά» όπως το 99.99% των περιπτώσεων που ξέρουμε, με ένα «internal» και ένα «external» view. Αντιγράφω από το http://www.syzefxis.gov.gr/Default.aspx?id=258&nt=18 το αρχικό spec:

Η υλοποίηση της Υπηρεσίας Ονοματολογίας θα πρέπει να γίνει με τέτοιο τρόπο ώστε να υποστηρίζεται η δυνατότητα για διαφορετική απάντηση ανάλογα με το χρήστη που κάνει την αίτηση. Για παράδειγμα, αν ένας χρήστης σε ένα Δήμο θέλει να προσπελάσει τον δικτυακό τόπο ενός άλλου Δήμου και βρίσκονται σε διαφορετικές νησίδες του Έργου «ΣΥΖΕΥΞΙΣ», η πρόσβαση θα πρέπει να γίνει εντός του ιδεατού κλειστού δικτύου που συνδέει τους Φορείς χωρίς να παρεμβάλλεται το Διαδίκτυο (αντιστοίχιση του εξυπηρετητή του δικτυακού τόπου σε private διεύθυνση). Αν τώρα ένας πολίτης θέλει να προσπελάσει το δικτυακό τόπο του εν λόγω Δήμου μέσω του Διαδικτύου, η υπηρεσία ονοματολογίας θα πρέπει να επιστρέψει μια public IP διεύθυνση η οποία να αντιστοιχεί μέσω NAT/PAT/reverse proxy στην private διεύθυνση του εξυπηρετητή του δικτυακού τόπου. Η υλοποίηση μπορεί να γίνει είτε με ρύθμιση του λογισμικού της υπηρεσίας είτε με εγκατάσταση διαφορετικών εξυπηρετητών που θα είναι υπεύθυνοι για την κάθε περίπτωση.

Δηλαδή όλα τα sites εντός ΣΥΖΕΥΞΙΣ πρέπει να κάνουν resolve στις private IPs για όλα τα VPN και τις νησίδες, και στις public IPs για το Internet.

Κάπου στην πορεία όμως (~Μάρτης 2007) τα specs άλλαξαν και ζητήθηκε το παρακάτω:

  • Φορέας που επιθυμεί να δει οποιαδήποτε εφαρμογή άλλου φορέα εντός του ίδιου VPN θα πρέπει να πληροφορείται από τις διατάξεις DNS για την private IP, του host που θέλει να προσπελάσει.
  • Φορέας που ανήκει σε άλλο VPN δεν θα πρέπει να επικοινωνεί δικτυακά με το συγκεκριμένο φορέα παρά μόνο αν η εφαρμογή είναι published στο Internet
    «…Για παράδειγμα αν δεν έχει ζητηθεί ειδικά κάποια «επικάλυψη» των VPNs δεν πρέπει να μπορούν οι Δήμοι να βλέπουν μεσα από το VPN-1 το portal της Στρατολογίας (www.stratologia.gr) (VPN-4) αλλά να το βλέπουν από το διαδίκτυο. …»
    Σε αυτή την περίπτωση η διάταξη DNS θα δίνει την public IP του host.

Με απλά λόγια, όταν κάποιος πχ. από το δήμο Κατερίνης ζητήσει να δεί το site του δήμου Αμαρουσίου, θα πρέπει να πάρει το Internal IP (και ας είναι σε διαφορετική νησίδα, είναι όμως στο ίδιο VPN), αλλά αν ζητήσει να δει το site του Νοσοκομείου Κατερίνης, θα πρέπει να πάρει το public ip (γιατί είναι σε άλλο VPN).

Τα δυο αρχικά Views έγιναν 6 (external, vpn1, vpn2, vpn3, vpn4, vpn-isp) και σήμερα 10 (προστέθηκαν vpn21, vpn22, vpn23, vpn24 λόγω επέκτασης του ΣΥΖΕΥΞΙΣ).

Το setup είναι πιο περίπλοκο από το αρχικό, αλλά με λιγότερες από 100 γραμμές perl που βγάζουν τα κατάλληλα bind config files το αποτέλεσμα είναι φανταστικό και αποτελεί το μοναδικό setup που ξέρω μέχρι σήμερα που ξεφεύγει από το απλό internal/external view!

MS Outlook Rich Text Format and winmail.dat

Do recipients of your emails, seemingly out of the blue, complain about a mysterious attachment called “winmail.dat” (of the even more mysterious content type “application/ms-tnef”), which they cannot open, no matter what they try? Do files you attach disappear in that winmail.dat moloch? Does winmail.dat show up for some but not all recipients of your messages?

It turned out that this was the case for several of our users using Outlook after migrating from Exchange to Dovecot.

Solution (must be performed by the sender):

  • On the Tools menu, click Options, and then click the Mail Format (or “Send”) tab. Under the Send tab is the message format list, select Plain Text or HTML (NOT Rich Text Format), and then click OK.
  • Then go through all contacts in Addressbook, and check that the relevant option is not set to «Rich Text Format» as well.

Αεροφωτογραφίες

Μ’αρέσει πάρα πολύ να βλέπω αεροφωτογραφίες, ειδικά από μέρη που γνωρίζω «απο κάτω», και βλέποντάς τα από ψηλά να αναγνωρίζω γνωστά σημεία/κτίρια ή να ανακαλύπτω νέα πράγματα..

Ενθουσιάστικα όταν ανακάλυψα το www.airphotos.gr που είναι ακριβώς αυτό που ονειρεύομαι.. Να πάρω ένα μικρό αεροπλάνο μια μέρα και να πετάξω πάνω από την Ελλάδα για ώρες..

Ο σκοπός του δικτυακού αυτού τόπου είναι να προβάλλει στην Ελλάδα και στο εξωτερικό την άγνωστη στους πολλούς αλλά πανέμορφη όψη από ψηλά της πατρίδος μας, συγκεντρώνοντας και αναδημοσιεύοντας αεροφωτογραφίες από δικτυακούς τόπους πιλότων-ερασιτεχνών φωτογράφων που μας παραχωρούν ευγενικά. Όλες οι φωτογραφίες αναφέρονται σε ελληνικά τοπία (πόλεις, χωριά, όρη, ποταμοί, λίμνες, αξιοθέατα), είναι ερασιτεχνικές λήψεις και δεν προορίζονται για εμπορική εκμετάλλευση.

Επίσης παρόμοια, αλλά για πολλές χώρες, είναι η συλλογή του Yann Arthus-Bertrand’s Earth from above που όπως έμαθα από αυτό το blog εκτέθηκαν για 6 μήνες (24×7!) στη Μελβούρνη.

Alpine 1.00 now available

Μετά από τουλάχιστον 10 χρόνια καθημερινής χρήσης του pine, άρχισα να χρησιμοποιώ Thunderbird πριν ~2 χρόνια.. Το pine όμως πάντα με «ξελασπώνει» σε δύσκολες καταστάσεις.. Και τώρα υπάρχει και συνέχεια, το Alpine!

The University of Washington is pleased to announce the release of Version 1.00 of the Alpine Messaging System. On the surface, Alpine will appear strikingly similar to the Pine Message System, and it is upwards-compatible for existing Pine users.

(via)