http & firewall
Lutz Donnerhacke
>Es könnte sein, das das ein MTU-Problem ist!
Deswegen fragte ich nach ICMP Sperren.
>Wenn du über (T-)DSL ins Internet gehst, dann tritt das bei bestimmten
>Webseiten auf. (den genauen technischen Hintergrund kenne ich
>allerdings auch nicht)
Der Hintergrund ist einfach: Path MTU Discovery.
Wenn man ein IP Paket auf die Reise schickt, dann kann es passieren, daß
unterwegs die Leitungs-MTU kleiner wird und das Paket nicht mehr druchpaßt.
Normalerweise zerlegt der Router dem das passiert, das IP Paket in Fragmente
und schickt die durch. Einfach, trival, funktioniert.
Manchmal will man das nicht, so daß man ein 'Dont Fragment' Bit im IP Header
setzen kann, wenn das Paket nicht zerlegt werden darf. In dem Fall schickt
der Router, dem das trotzdem passiert ein ICMP 'Destination unreachable:
Fragmentation needed, but DF set.' an den Absender zurück. Der weiß nun, daß
es nicht geklappt hat.
Nun ist vor einigen Jahren jemand Hyperschlaues sich gedacht, daß es prima
wäre, wenn man den Routern die Arbeit erleichtert. Er hat nun alle Pakete
mit gesetztem DF Bit gesendet. Kam von einem Router eine ICMP Fehlermeldung
zurück, dann hat er die in der Fehlermeldung mit angegebene maximale Größe
der Strecke genommen und nur für diese Verbindung kleinere Pakete gesendet.
Das Ganze nennt man PMTUD (s.o.).
Darüberhinaus gibt es Buffergrenzen, die ein IP-Stack abkann, wenn er
TCP-Segmente verarbeitet. Um der Gegenseite mitzuteilen, welche maximalen
Segmentgrößen er verträgt, setzt er beim Verbinungsaufbau (SYNC) die Option
TCPMSS (TCP Maximum Segment Size).
Der nächste Hyperschlaue beobachtete, daß die "dünneren" Leitungen, die also
kleinere MTUs haben, meist beim Endpunkt einer Verbindung stehen und dachte
sich, man könne die Buffergrenzen des TCP Stacks als Obergrenze der MTU
ebenfalls interpretieren. Der Gedanke allein ist derartig schwachsinnig, daß
es schmerzt: Hier wurde Kausalität und Korrelation verwechselt, aber das ist
offenbar in der IT-Branche Voraussetzung für Erfolg. Man setzt nämlich die
Puffergrenzen so, daß sie in der lokalen Umgebung sinnvoll sind, und das ist
zufällig die LeitungsMTU am nächsten Interface, weil ja einkommende Pakete
eh' nicht größer sein können. Das sagt natürlich gar nichts über die MTU der
Leitungen zwischen den Endgeräten aus, besonders, da die allerletzte Strecke
meist ein "dickes" Ethernetinterface ist.
Kurz gesagt hat sich der Letztgenannte also eine Modifikation des TCP/IP
Stacks dahingehend einfallen lassen, daß der den TCPMSS Parameter als
Startwert für PMTUD nimmt.
Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
als Angriff werten und abschalten. Danach geht nichts mehr, wenn einer von
beiden PMTUD probiert, die Pakete grundsätzlich nicht druchkommen können,
weil die Fehlermeldungen weggeworfen werden. So und anstatt nun einfach
PMTUD abzuschalten, so daß es gar keine Fehlermeldungen mehr gibt, setzt man
die MTU auf dem Interface so geschickt niedrig, daß die ausgenden Pakete
grundsätzlich klein genug sind, um überall durchzukommen. Außerdem
signalisiert man mit TCPMSS der Gegenstelle, doch bitte kleine Pakete zu
senden. Das ist zwar ineffizient, aber es gibt keine Fehlermeldungen mehr,
die von dem strunzdämlichen Firewall-Admins des Serverproviders weggeworfen
werden könnten.
Anstatt den Wunsch der betreffenden Firma zu respektieren und die Webseiten
links liegen zu lassen, setzen die Leute ihre MTU auf den Interfaces herab,
produzieren so kleinere Buffer im TCP-Stack, der von anderen Systemen bequem
überschrieben werden kann, so daß man sich selbst eine Sicherheitslücke baut
und von der Kommunikation mit anderen Systemen ausschließt. Es sei denn, man
sagt die kleinere MTU /allen/ Geräten im lokalen Netz, auch dem Server.
Aber so blöd ist sicher niemand, oder?
>Abhilfe kannst du auf 2 Arten schafffen:
0. PMTUD am Client abschalten. Funktioniert in über 90% aller Fälle. Ist
PMTUD am Ziel an und wird dort gefiltert, sollte man den Wunsch der
betreffenden Firma zu respektieren und die Kommuniktion einstellen.
>1. MTU auf allen Clients, die den Router nutzen auf einen Wert von
> 1490 einstellen (default ist meist 1500)
> (unter Linux z.B. mit dem Befehl: ifconfig eth0 mtu 1490)
Linux verwirft dann alle Pakete, die größer sind, z.B. die von anderen
lokalen Rechnern. Viel Spaß beim Debugging.
>2. (die meines Erachtens einfachere Lösung)
> Auf dem Router in dein Firewallscript folgenden Befehl einbauen:
> iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Und das ist der Hack, bei dem ich sofort Fefes fatalistische Art
nachvollziehen kann: Man sagt der Firewall, sie soll TCPMSS auf den Wert
umstellen, den die nächste Leitung hat, anstatt ihr zu sagen, daß sie ICMP
Fehlermeldungen durchlassen soll.
Durchlassen ist aber auch so ein schönes Wort. Natürlich reicht es nicht, in
der Forward Regel ein ACCEPT zu geben, wenn man gleichzeitig Adressumsetzung
macht. Die Firewall sollte dann wenigstens so schlau sein, und eingehende
ICMP Meldungen ebenfalls umzusetzen. Ansonsten taugt sie nichts und sollte
wenigstens durch einen Proxy ergänzt werden, damit überhaupt Kommuniktion
möglich wird.
frank paulsen
> Der Hintergrund ist einfach: XXXX XXX XXXXXXXXX.
.
z$$$$$e.
.$$$$$$$$$c -r d
$$$$$$$$$$$. *c. 'L
4$$$$$$$$$$$F 4c "*e. "%c
^$$$$$$$$$$$F "b ^b "*
*$$$$$$$$$$ .. P $ J"
^*$$$$$$$$\e$$$e. d" .F z"
"*$$$P".$$$$$$$c d% J" .d" .P
$$$$$$$$$$e. $ P z*" .d"
$$$$$$$$$$$$b. ^*ee... " zP"
"*$$$$$$$$$$$$$ee.. ^""* .d"
.$$$$$$$$$$$$$$$$$$eee......eeedec. e* .ze
z$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$b. .P" .z@*"
z$$$$$""*$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$c ^ eP""
d$$$$$" "*$$$$$$$$$$$$$$$$$$$$$$$$$$$$ "
.d$$$$P" ^"*$$$$$$$$$$$$$$$$$$$$$$$$$ ****$eee
.$$$$$* ^"$$$$$$$$$$*$$$$$$$$$$$" ec.
.z$$$$$" "*$$$$$$$$$$$$$$$$$*" ""**ec.
.zed$$$$$$$" "*$$$$$$$$$$*" ""
.d$$$$$$$P"
.d$$$$$$$*"
z$$$$$$$$"
.$$$$$$$*"
d$$$$$*"
z$$$$"
.$$$$$
Sir!
--
frobnicate foo
Urs [Ayahuasca] Traenkner
>* Thomas Schmidt wrote:
>>Wenn du über (T-)DSL ins Internet gehst, dann tritt das bei bestimmten
>>Webseiten auf. (den genauen technischen Hintergrund kenne ich
>>allerdings auch nicht)
>Der Hintergrund ist einfach: Path MTU Discovery.
[tausende Zeilen Erklaerung]
Lutz erklaert PMTU & ZeucH in dasr, wie ich nie habe jemanden PMTU &
Zeuch habe erklaeren sehen?
Gespraechig? off topic? Hat ein anderer Teil Deiner schizophrenen
Persoenlichkeit die Kontrolle uebernommen?
/me ist voellig von den Socken
Gruss Ur"anscheinend ist nicht nur mein Heimatort ueberschwemmt"s...
--
Arbeit ist der Fluch der Trinkerklasse.
Oscar Wilde
Alexander Schreiber
>
> [Roman von Lutz zu Path MTU gesnippt]
Lutz, was haben SIE den mit Dir angestellt? Hat man Dir komisch
gruenlich leuchtendes Zeug ins Fruehstueck gemixt?
\include{seltsame_theorien}
Sehr verwundert,
Alex.
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
---------------------------------------------------------------------------
Derzeit auf Jobsuche: http://www-user.tu-chemnitz.de/~als/cv.html
Thomas Hühn
> [lange Erklärung zu PMTUD - ist die wirklich von Lutz?]
Danke. Sehr angenehm zu lesen.
Thomas
Immo 'FaUl' Wehrenberg
>>Wenn du über (T-)DSL ins Internet gehst, dann tritt das bei bestimmten
>>Webseiten auf. (den genauen technischen Hintergrund kenne ich
>>allerdings auch nicht)
> Der Hintergrund ist einfach: Path MTU Discovery.
Lutz, mir scheint du bist ernsthaft krank, suche bitte umgehend einen Arzt
auf!
FaUl
--
Ich kenn mehr die 90/10-Regeln...
Für 90% der Arbeit braucht man 90 % der Zeit.
Für die restlichen 10% Arbeit braucht man die anderen 90% der Zeit.
[Sebastian Posner in dasr]
Felix von Leitner
> Darüberhinaus gibt es Buffergrenzen, die ein IP-Stack abkann, wenn er
> TCP-Segmente verarbeitet. Um der Gegenseite mitzuteilen, welche maximalen
> Segmentgrößen er verträgt, setzt er beim Verbinungsaufbau (SYNC) die Option
> TCPMSS (TCP Maximum Segment Size).
Huh? Was hat das eine mit dem anderen zu tun?
Der Punkt bei der TCPMSS ist, daß sie so groß ist, daß man keine
fragmentierten TCP-Pakete durch die Gegend schickt, denn wenn ein
Fragment verloren geht, muß man im Normalfall auch die anderen Fragmente
wegschmeißen, und das verschwendet natürlich Bandbreite.
Unter "Puffergröße des IP-Stacks" würde ich eher die TCP Window Size
vermuten.
> Der nächste Hyperschlaue beobachtete, daß die "dünneren" Leitungen, die also
> kleinere MTUs haben,
Huh? Zusammenhang? Ich fahre seit jeher über Modem, ISDN und 100baseTX
MTU 1500. Warum auch nicht?
> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
> als Angriff werten und abschalten.
ACK. Alle erschießen. Fangen wir mit Haluk an.
> Danach geht nichts mehr, wenn einer von beiden PMTUD probiert, die
> Pakete grundsätzlich nicht druchkommen können, weil die
> Fehlermeldungen weggeworfen werden. So und anstatt nun einfach PMTUD
> abzuschalten, so daß es gar keine Fehlermeldungen mehr gibt, setzt man
> die MTU auf dem Interface so geschickt niedrig, daß die ausgenden
> Pakete grundsätzlich klein genug sind, um überall durchzukommen.
IIRC schlägt das PMTUD RFC das sogar vor, und eine der großartigen
IPv6-Neuerungen ist, daß die Minimum-MTU hochgesetzt wurde, IIRC auf
knapp 500 Bytes.
> Aber so blöd ist sicher niemand, oder?
Ist das eine Fangfrage?
> >1. MTU auf allen Clients, die den Router nutzen auf einen Wert von
> > 1490 einstellen (default ist meist 1500)
> > (unter Linux z.B. mit dem Befehl: ifconfig eth0 mtu 1490)
> Linux verwirft dann alle Pakete, die größer sind, z.B. die von anderen
> lokalen Rechnern. Viel Spaß beim Debugging.
Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
einsetzt, hat eh kein Mitleid verdient.
> >2. (die meines Erachtens einfachere Lösung)
> > Auf dem Router in dein Firewallscript folgenden Befehl einbauen:
> > iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> Und das ist der Hack, bei dem ich sofort Fefes fatalistische Art
> nachvollziehen kann: Man sagt der Firewall, sie soll TCPMSS auf den Wert
> umstellen, den die nächste Leitung hat, anstatt ihr zu sagen, daß sie ICMP
> Fehlermeldungen durchlassen soll.
Ich finde es immer wieder lustig, daß sich überhaupt jemand findet, der
sowas dann auch noch implementiert! Gut, ich sollte da ganz ruhig sein
(http://www.fefe.de/readfrag/) ;-}
Felix
--
Erst wenn die letzte Shell- Tankstelle abgebrannt,
die letzt Bohrinsel versenkt ist, werdet ihr merken,
das Greenpeace nachts kein Bier verkauft...
--Michael Fried in de.talk.bizarre
Eric Schaefer
>> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
> ACK. Alle erschießen. Fangen wir mit Haluk an.
Jetzt bin ich aber mal gespannt, wie Du diese zwei Begriffe unter einen
Hut bringen willst...
Eric
--
Eigentlich sollten Konjunktive prinzipiell meistens vermeidbar sein.
-- Rainer Kersten in dasr
Alexander Schreiber
>> > 1490 einstellen (default ist meist 1500)
>> > (unter Linux z.B. mit dem Befehl: ifconfig eth0 mtu 1490)
>> Linux verwirft dann alle Pakete, die größer sind, z.B. die von anderen
>> lokalen Rechnern. Viel Spaß beim Debugging.
>
>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>einsetzt, hat eh kein Mitleid verdient.
Ja, es wird aus guten Gruenden auch "No File Security" oder auch
"Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
Man liest sich,
Dietz Proepper
> * Felix von Leitner <usenet-...@fefe.de> wrote:
>>> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
> ^^^^^^
>> ACK. Alle erschießen. Fangen wir mit Haluk an.
> ^^^^^
> Jetzt bin ich aber mal gespannt, wie Du diese zwei Begriffe unter einen
> Hut bringen willst...
"erschießen".
Dietz
Dietz Proepper
> Felix von Leitner <usenet-...@fefe.de> wrote:
>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>einsetzt, hat eh kein Mitleid verdient.
>
> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt daß
Dateinamen nicht in bestimmten Buchstaben enden dürfen (oder so, ist
schon etwas her), erinnere mich an den Sponsor und verzichte dankend.
In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
Saugens noch um Welten.
Dietz
Bodo Eggert
> * Thomas Schmidt wrote:
[MTU-Discovery und Abhilfe]
>>Abhilfe kannst du auf 2 Arten schafffen:
>>2.<snip>
3.) Auf jedem Client die mss pro Route setzen. Dabei genmüßlich kotzen.
Im Fall von Susi8 letzten Schritt wiederholen.
4.) Proxy benutzen.
--
Top 100 things you don't want the sysadmin to say:
53. [looks at workstation] "Say, what version of Dos is this running?"
Anders Henke
> MTU 1500. Warum auch nicht?
Ich kann mich noch an meine frühen PPP-Zeiten erinnern, bei denen man
gelegentlich empfohlen hat eine MTU von 296 zu verwenden, um bei
parallelen Verbindungen die Responsiveness zu erhoehen.
Klar, wenn ich in einer Verbindung mit voller Leistung Downloads laufen
lasse und dann noch parallel irgendwie interaktiv agieren moechte,
sorgt eine kleine MTU quasi fuer kleinere Timeslices. Gleichzeitig geht
allerdings auch der Verwaltungsoverhead hoch.
In der Praxis will man lieber echtes Bandbreitenmanagement als
ein undifferenziertes Herumdoktorn mit Hilfe der MTU, im Zweifelsfall halt
per "alle Bandbreite auf meine interaktive Verbindung und der Rest darf
sich mit 200 bit/s begnuegen".
> ACK. Alle erschießen. Fangen wir mit Haluk an.
Ich erwarte einfach nur von ihm, dass er sich konsequent an seine
Firewalling-Ideen hält und habe ihm nur empfohlen, neben dem gefährlichen
icmp auch noch tcp und udp zu firewallen. Ein- wie ausgehend.
Anders
--
http://sysiphus.de/
Mark-Oliver Wolter
> * Felix von Leitner <usenet-...@fefe.de> wrote:
>>> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
> ^^^^^^
Holger Marzen
>>2. (die meines Erachtens einfachere Lösung)
>> Auf dem Router in dein Firewallscript folgenden Befehl einbauen:
>> iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
>
> Und das ist der Hack, bei dem ich sofort Fefes fatalistische Art
> nachvollziehen kann: Man sagt der Firewall, sie soll TCPMSS auf den Wert
> umstellen, den die nächste Leitung hat, anstatt ihr zu sagen, daß sie ICMP
> Fehlermeldungen durchlassen soll.
Anstatt? Nein, zusätzlich. Dieser üble Hack mag von übermäßiger Toleranz
des lokalen Admins zeugen, der anderen ihre Fehler verzeiht. Er ist
jedoch durchaus verträglich mit dem Nicht-Sperren von icmp.
Marc Haber
>> als Angriff werten und abschalten.
>
>ACK. Alle erschießen. Fangen wir mit Haluk an.
Lutz und Fefe sind einer Meinung, und ich könnte mich anschliessen?
Was für ein Tag.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
frank paulsen
> Lutz und Fefe sind einer Meinung, und ich könnte mich anschliessen?
> Was für ein Tag.
logischerweise der 13.
Hans Bonfigt
Wann und wo wirst Du denn den Vortag halten, dessen Fragmente
Du hier dem dasr-Lektorium zur Begutachtung vorgelegt hast ?
Gar angenehm zu lesen, informativ, amuesant und polemisch.
Lutz Donnerhacke:
> Manchmal will man das nicht, so daß man ein 'Dont Fragment' Bit im IP Header
> setzen kann, wenn das Paket nicht zerlegt werden darf.
Gehe waehrend des Vortrags vielleicht auf die Gruende ein,
warum die sendende Seite dies wuenschen koennte. Die Ant-
worten, die ich bis jetzt auf diese Frage erhielt, befriedi-
gen mich nicht:
- Reduzierung der Rechenlast in Routern und Gateways wird
zwar erreicht, liegt jedoch ueblicherweise nicht im Inter-
esse des Senders.
- Manipulierte Fragmentierungsinformationen taeuschen fehler-
hafte Paketfilter. Das kann man korrigieren.
Welche weiteren Gruende gibt es ?
> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins, die ICMP
> als Angriff werten und abschalten. Danach geht nichts mehr, wenn einer von
> beiden PMTUD probiert, die Pakete grundsätzlich nicht druchkommen können,
> weil die Fehlermeldungen weggeworfen werden.
Das ist morbus proepper.
Sicherheitsfimmel + Inkompetenz - Sachkenntnis = Ausfall.
> [ ... ] die kleinere MTU /allen/ Geräten im lokalen Netz, auch dem Server.
> Aber so blöd ist sicher niemand, oder?
... ausser "Code - Blau" - Mitarbeitern. Und bald werden es noch ein paar
Seelen mehr sein, denn diesen Tip aus der 'goldenen Serie' las ich heute
in der aktuellen c't.
Gruss Hans
Alexander Schreiber
>Alexander Schreiber wrote:
>> Felix von Leitner <usenet-...@fefe.de> wrote:
>>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>>einsetzt, hat eh kein Mitleid verdient.
>>
>> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
>> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
>> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
>
>Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt daß
>Dateinamen nicht in bestimmten Buchstaben enden dürfen (oder so, ist
>schon etwas her),
Du meinst '\' und '\0'? Ansonsten etwas praeziser bitte - hier[0] sind ein
paar TB mit mehreren Tausend Nutzern und locker ueber Tausend Client-
maschinen mit AFS im Betrieb. Und ueber nicht erlaubte Buchstaben im
Dateinamen ist noch keiner gestolpert (und das ist eine Uni - irgendein
Spielkind wuerde da garantiert ueber solche Tretminen stolpern so es sie
gaebe - letztens erst hat sich jemand einen boesen Spass erlaubt, der
alle die gebissen hat, die ihre ACLs etwas daemlich eingestellt hatten).
> erinnere mich an den Sponsor und verzichte dankend.
IBM? Nun, das merkt man vor allem an der Doku. "Quick"start Guide von
300+ Seiten und der Rest geht duerfte auch in die Tausende Seiten gehen.
Aber es funktioniert - und es gibt schlicht und einfach keine Konkurrenz
zu AFS. Coda ist Spielwiese und nicht fuer Produktiveinsatz verwendbar,
Intermezzo sowieso. NFS skaliert einfach nicht soweit, von Nettigkeiten
wie "No File Security" mal abgesehen. Und muessen wir wirklich ueber SMB
reden? Einer der Hemmschuhe fuer die Verbreitung ist derzeit (vorher
waren es die Lizenzpreise, aber irgendjemandem bei IBM scheint da wohl
mal ein Kronleuchter aufgegangen zu sein) die Komplexitaet, mit der man
sich erstmal auseinandersetzen muss. Einen NFS-Server hat man halt in
Sekunden laufen, SMB "irgendwie" auch in Minuten. AFS erfordert mehr
Lsen und Nachdenken.
>In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
>ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
>Saugens noch um Welten.
Die Kombination mit SMB an die Windosen und NFS an die UNIX-Clients kann
aber auch sehr interessant werden. OpenAFS funktioniert mit Linux und
Windows NT/2000/XP nach meinen Erfahrungen (im Rahmen der Probleme der
Plattform - u.a. Stichwort non-case-sensitives Verhalten im VFS-Layer
bei Windows) sehr gut. Ein einheitliches Netzwerkdateisystem ueber die
relevanten Plattformen hinweg. Ein einheitlicher Namensraum,
Replikation, Backups im laufenden Betrieb. Fileserver umstellen im
vollen laufenden Betrieb _ohne_ das die Nutzer davon was merken wuerden,
waehrend Du bei NFS & SMB erstmal "Fileserver down" durchsagen und dann
die Aenderungen breitstreuen darfst. Trotz aller durchaus auch
vorhandener Fallen (z.B. Stichworte "kein Ticket", "ticket expiry") faellt
AFS fuer mich unter Recovery.
Man liest sich,
Alex.
[0] TU Chemnitz
Felix von Leitner
> In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
> ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
> Saugens noch um Welten.
Du willst dir mal in Ruhe die Samba-Dokumentation geben.
NFS ist zwar sehr saugstark, aber jeder aufgehackte dazugekaufte Haufen
Legacy-Müll aus dem Hause IBM/Microsoft ist mindestens in der Kategorie.
Und SMB ist _definitiv_ in der Kategorie. Fürchterlich!
Felix
--
Amanda ist ein unglaublich grosser haufen obszoen stinkender scheisse,
pervertierter bloateteter basteldreck und nicht mal im kontext von
sagenwirmal Argghserve diskutierbar. nur die jungs von der *SM-fraktion
leiden noch furchtbarer. --frank paulsen, <aj16gm$jdl$4...@ebel.dfakt.de>
Felix von Leitner
> ... ausser "Code - Blau" - Mitarbeitern.
Findet hier irgendjemand, daß Hans es nicht verdient hat, eine
kostenpflichtige Abmahnung mit strafbewehrter Unterlassungserklärung
reingedrückt zu kriegen? Wenn ja, soll er jetzt sprechen oder für immer
schweigen.
Fällig ist er ja schon längst.
Tilo Buschmann
Wenn du so fragst, dann melde ich mich. Seine Plänkeleinen sind eine
Kleinigkeiten gegen deine Beleidigungen.
Tilo
--
You cannot achieve the impossible without attempting the absurd.
Alexander Schreiber
>> In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
>> ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
>> Saugens noch um Welten.
>
>Du willst dir mal in Ruhe die Samba-Dokumentation geben.
>
>NFS ist zwar sehr saugstark, aber jeder aufgehackte dazugekaufte Haufen
>Legacy-Müll aus dem Hause IBM/Microsoft ist mindestens in der Kategorie.
>Und SMB ist _definitiv_ in der Kategorie. Fürchterlich!
Rate mal, warum ich SMB durch AFS ersetze beim derzeitigen Arbeitgeber.
Seit ich einen groesseren Baum mit etwas bunten Zugriffsrechten ins AFS
verlegt habe brauche ich auch nicht mehr regelmaessig als root mit
chown/chmod da drin rumzuwerfen weil Windows in Tateinheit mit Samba
interessante Rechte gebaut hat, ausserdem kann sich dank der ACLs der
zustaendige Abteilungsleiter selber um die Zugriffsrechte in seinem
Bereich kuemmern[0]. Ausserdem faellt damit der Murks mit einem Dutzend
gemounteter "Netzlaufwerke" an den Windosen weg. Zwei "Laufwerke" mit
jeweils unterschiedlicher Sicht ins AFS (/afs und /afs/$FIRMA/home) und
gut ist. Kommt der Standardisierung der Kisten _sehr_ entgegen.
Man liest sich,
Alex.
[0] Macht er auch. Ordentlich. Einmal kurze Einfuehrung und das einzige
was ich danach wieder gehoert habe von ihm in der Richtung war
"Ok, ich habe mal die Rechte neu verteilt und aufgeraeumt." Keine
Supportanfragen, keine Probleme, tut. Durchaus recovery, das.
Holger Marzen
Abmahner sind Scriptkiddys des Rechts.
Claus Färber
> Spielkind wuerde da garantiert ueber solche Tretminen stolpern so es sie
> gaebe - letztens erst hat sich jemand einen boesen Spass erlaubt, der
> alle die gebissen hat, die ihre ACLs etwas daemlich eingestellt hatten).
--verbose bitte, das hört sich on-topic an.
Claus
--
------------------------ http://www.faerber.muc.de/ ------------------------
OpenPGP: DSS 1024/639680F0 E7A8 AADB 6C8A 2450 67EA AF68 48A5 0E63 6396 80F0
Lutz Donnerhacke
>>> lokalen Rechnern. Viel Spaß beim Debugging.
>
>liegt die mtu hier teilweise noch tiefer (man cipe).
Auf welchem Interface ist die MTU kleiner? Eben.
Lutz Donnerhacke
>Lutz Donnerhacke:
>> Manchmal will man das nicht, so daß man ein 'Dont Fragment' Bit im IP
>> Header setzen kann, wenn das Paket nicht zerlegt werden darf.
>
>Gehe waehrend des Vortrags vielleicht auf die Gruende ein,
>Welche weiteren Gruende gibt es ?
Gegenstelle hat einen primitiven Stack, der kein Reassembling macht.
Typisches Beispiel: SNMP aufgeborte Geräte wie USVs.
Alexander Schreiber
>Alexander Schreiber <a...@usenet.thangorodrim.de> schrieb/wrote:
>> Spielkind wuerde da garantiert ueber solche Tretminen stolpern so es sie
>> gaebe - letztens erst hat sich jemand einen boesen Spass erlaubt, der
>> alle die gebissen hat, die ihre ACLs etwas daemlich eingestellt hatten).
>
>--verbose bitte, das hört sich on-topic an.
Naja, es gibt einen dedizierten Webserver, auf dem - nach Bestehen einer
entsprechenden Ich_bin_nicht_total_ignorant_bezueglich_Netz-Pruefung die
Studenten hier ihre Homepages hinstellen koennen. Mittlerweile auch mit
PHP und CGI-Unterstuetzung. $HOME ist im AFS. Das ganze Setup ist eher
als offene Spielwiese gedacht, damit sich die Studenten mit den
entsprechenden Moeglichkeiten im Umfeld WWW befassen koennen.
_Eigentlich_ kann ein laufendes CGI/PHP-Script nicht ins $HOME des
Nutzers schreiben. Aber der Webserver hat einen AFS-Account (AFAIK
Maschinenaccount). Und offenbar meinten etliche Leute, der Webserver
solle Schreibrechte in ihrem $HOME haben, also wurden ACLs entsprechend
gesetzt (Hallo, Mr. Murphy, schoener Tag auch ...). Wer ahnt schon was?
Richtig, die Tage fand das URZ auf der Maschine ein "rm -rf /".
_Ausgerechnet_ auf Maschinen des URZ der TU Chemnitz sowas abzuziehen
zeugt von wirklich besonderer Daemlichkeit, das URZ hier ist sehr
kompetent und maechtig auf Draht - was, wie ich mittlerweile sehen
musste, wohl eine massive Ausnahme unter den Unis zu sein scheint. Die
LART-Auslieferung an den Deppen duerfte jedenfalls recht heftig ausgefallen
sein ;-)
Man liest sich,
Alex.
Hans Bonfigt
> Wenn du so fragst, dann melde ich mich. Seine Plänkeleinen sind eine
> Kleinigkeiten gegen deine Beleidigungen.
Oh, es gibt da schon subtile Unterschiede. Waehrend Fiffis Poebeleien samt und sonders
frei erfunden sind, schrecke ich vor keinem noch so miesen Mittel zu-
rueck: Ich poste sogar die Wahrheit.
Gruss Hans
Hans Bonfigt
> Abmahner sind Scriptkiddys des Rechts.
Na, dann passt es doch.
Gruss Ha "Mamaaaaa, der hat mich gehauen" ns
Rolf Eike Beer
> Felix von Leitner <usenet-...@fefe.de> wrote:
>>Thus spake Lutz Donnerhacke (lu...@iks-jena.de):
>>> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins,
>>> die ICMP als Angriff werten und abschalten.
>>
>>ACK. Alle erschießen. Fangen wir mit Haluk an.
>
> Lutz und Fefe sind einer Meinung, und ich könnte mich anschliessen?
> Was für ein Tag.
Wenn jetzt auch noch Hans der Meinung ist wird klar das SIE
dahinterstecken.
Eike
--
Natürlich ist auch C böse. Nur ist die Boshaftigkeit von C die eines
guten Jedi, gerecht, nicht verzeihend, die reinigende Flamme wohingegen
die Macht von Java der dunklen Seite gleicht, verlockend, einfach und
fast unentrinnbar wenn man davon azte... [Dietz Proepper in dasr]
Marc Haber
>Lutz Donnerhacke:
>> Manchmal will man das nicht, so daß man ein 'Dont Fragment' Bit im IP Header
>> setzen kann, wenn das Paket nicht zerlegt werden darf.
>
>Gehe waehrend des Vortrags vielleicht auf die Gruende ein,
>warum die sendende Seite dies wuenschen koennte.
Das Paket sei signiert.
Andreas Barth
> Abmahner sind Scriptkiddys des Rechts.
Nein. Serienabmahner schon. Abmahnungen beispielsweise der vzbv nach
§2 Unterlassungsklagengesetz haben eine intensive inhaltliche
Recherche vorher und einen guten inhaltlichen Grund, der ohne
Abmahnung nicht oder nur schwer erreichbar ist.
Grüße,
Andi
--
PGP 1024/89FB5CE5 DC F1 85 6D A6 45 9C 0F 3B BE F1 D0 C5 D1 D9 0C
die Weltherrschaft erringen Ziel des Spiels "Risiko" 1976
die Welt zu befreien ... und 1990.
Hans Bonfigt
> Von Marc Haber:
>> Felix von Leitner <usenet-...@fefe.de> wrote:
>>>Thus spake Lutz Donnerhacke (lu...@iks-jena.de):
>>>> Neu in dem Szenario sind jetzt die strunzdämlichen Firewall-Admins,
>>>> die ICMP als Angriff werten und abschalten.
>>>
>>>ACK. Alle erschießen. Fangen wir mit Haluk an.
>>
>> Lutz und Fefe sind einer Meinung, und ich könnte mich anschliessen?
>> Was für ein Tag.
> Wenn jetzt auch noch Hans der Meinung ist wird klar das SIE
> dahinterstecken.
Da halte ich mich heraus. Das Thema ist nicht-trivial, um da eine "Meinung"
zu haben, muss man schon etwas mehr darueber wissen als ich. Erschwerend
kommt hinzu: Es gibt ein Leben nach "Illustrated".
Maximilian Wilhelm
> Holger Marzen wrote:
> > Abmahner sind Scriptkiddys des Rechts.
> Nein. Serienabmahner schon. Abmahnungen beispielsweise der vzbv nach
> §2 Unterlassungsklagengesetz haben eine intensive inhaltliche
> Recherche vorher und einen guten inhaltlichen Grund, der ohne
> Abmahnung nicht oder nur schwer erreichbar ist.
Ciao
Max
--
| .-. | Diese Nachricht wurde erstellt mit | .-. |
| /v\ | Hilfe eines freilaufenden Pinguins | /v\ |
| /( )\ | aus artgerechter Freiland Haltung ! | /( )\ |
| ^^ ^^ | <= Tux the penguin => | ^^ ^^ |
Andrea Wardzichowski
Deine Sicht, *deren* Sicht, "die Wahrheit" oder "was wirklich geschah"?
Princess (manche CCC-Vorträge wirken nachhaltig)
--
------------------ Andrea 'Princess' Wardzichowski ---------------------
------------ Princess@IRC -------- E-Mail: prin...@bofh.de ------------
----- "Schau die Feuer, hör die Trommeln und ergib dich diese Nacht" ---
----------------- ("Die Schlacht", SVBWAY TO SALLY) --------------------
Felix von Leitner
> Wenn du so fragst, dann melde ich mich. Seine Plänkeleinen sind eine
> Kleinigkeiten gegen deine Beleidigungen.
Es gibt einen Unterschied zwischen persönlichen Beschimpfungen
anwesender Personen und Herabwürdigungen von Firmen. Gegen ersteres
habe ich nichts, es sieht ja jeder Blinde, was Hans für ein unwürdiges
Häufchen Elend ist (ich sage nur "root@", ROTFL). Im Übrigen kann ich
mich gegen Hans hier, vor Ort wehren.
Aber wenn Hans meine Familie oder meine Firma herabwürdigt, ist eine
Grenze überschritten.
Felix
Felix von Leitner
> > Kleinigkeiten gegen deine Beleidigungen.
> Oh, es gibt da schon subtile Unterschiede. Waehrend Fiffis Poebeleien samt und sonders
> frei erfunden sind, schrecke ich vor keinem noch so miesen Mittel zu-
> rueck:
Genau, und wie! Plenken, schlechte Rechtschreibung, postet als root@,
zu lange Zeilenumbrüche, falsche Signaturen, von dir haben wir wirklich
schon alles gehabt. Vom inhaltlichen wollen wir mal gar nicht erst
anfangen.
> Ich poste sogar die Wahrheit.
Nur das noch nicht. Wann willst du damit anfangen? Das wäre ja in der
Tat mal was neues. Ich bin gespannt!
Felix
Felix von Leitner
> > Findet hier irgendjemand, daß Hans es nicht verdient hat, eine
> > kostenpflichtige Abmahnung mit strafbewehrter Unterlassungserklärung
> > reingedrückt zu kriegen? Wenn ja, soll er jetzt sprechen oder für immer
> > schweigen.
> Abmahner sind Scriptkiddys des Rechts.
Ja und? Du sagst das, als wenn es etwas schlechtes wäre.
Script Kiddies erfüllen eine wichtige gesellschaftliche Funktion: Sie
belästigen Leute, die es verdient haben. Und Hans ist juristisch sicher
genau so ein Experte ist wie in allen anderen Belangen.
Felix
Tilo Buschmann
> Aber wenn Hans meine Familie oder meine Firma herabwürdigt, ist eine
> Grenze überschritten.
Es ist generell nicht nett[tm] Menschen zu beleidigen. Und es gibt
meiner Meinung nach einen Unterschied zwischen Beleidigung und
Herabwürdigung.
Ein Gericht würde sicherlich eine Unterlassung der Herabwürdigung bestimmen,
aber es würde auch eine saftige Strafe auf die Beleidigung geben.
Die Lösung wäre einfach: Hört beide damit auf.
Lars Marowsky-Bree
<prin...@bofh.de> wrote:
> Deine Sicht, *deren* Sicht, "die Wahrheit" oder "was wirklich geschah"?
Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
Dinge.
Felix von Leitner
> zu haben, muss man schon etwas mehr darueber wissen als ich.
Du tust ja gerade so, als hätte dich das bisher abgehalten, hier
strunzdämlichen Müll zu posten...?
> Erschwerend kommt hinzu: Es gibt ein Leben nach "Illustrated".
ROTFL, willst du andeuten, du hättest bei Illustrated mehr als das Cover
gesehen und/oder verstanden? Hans, sollte doch Humor in dir stecken?
Tino Schwarze
>>> Spielkind wuerde da garantiert ueber solche Tretminen stolpern so es sie
>>> gaebe - letztens erst hat sich jemand einen boesen Spass erlaubt, der
>>> alle die gebissen hat, die ihre ACLs etwas daemlich eingestellt hatten).
>>
>>--verbose bitte, das h?rt sich on-topic an.
> Naja, es gibt einen dedizierten Webserver, auf dem - nach Bestehen einer
> entsprechenden Ich_bin_nicht_total_ignorant_bezueglich_Netz-Pruefung die
> Studenten hier ihre Homepages hinstellen koennen. Mittlerweile auch mit
> PHP und CGI-Unterstuetzung. $HOME ist im AFS. Das ganze Setup ist eher
> als offene Spielwiese gedacht, damit sich die Studenten mit den
> entsprechenden Moeglichkeiten im Umfeld WWW befassen koennen.
> _Eigentlich_ kann ein laufendes CGI/PHP-Script nicht ins $HOME des
> Nutzers schreiben. Aber der Webserver hat einen AFS-Account (AFAIK
> Maschinenaccount).
Genauer: Gruppe mit IP-Adressen der Maschinen. Eigene Token fuer die
Server ist komplex und beinhaltet so unschoene Dinge wie Passwoerter
im Klartext im Filesystem.
> Und offenbar meinten etliche Leute, der Webserver solle
> Schreibrechte in ihrem $HOME haben, also wurden ACLs entsprechend
> gesetzt (Hallo, Mr. Murphy, schoener Tag auch ...). Wer ahnt schon
> was?
Naja, fuer verschiedene Sachen ist das mal ganz brauchbar
(Plaintext-"Datenbank" mit Webinterface, Caching von automatisch
geTeXten Sachen). Allerdings duerfte kein $HOME betroffen gewesen
sein, sondern nur dedizierte Verzeichnisse.
Tschau. Tino.
--
Those willing to give up a little liberty for a little security
deserve neither security nor liberty. (Benjamin Franklin)
Karsten Petersen
> Richtig, die Tage fand das URZ auf der Maschine ein "rm -rf /".
Detail am Rande: Schuld war ein Nutzer der irgendein Script was er
irgendwo gefunden hatte ausprobieren wollte.
In der Config wusste er aber nicht, was er bei ein paar der Variablen
eintragen sollte und liess sie daher leer. Leider macht das Script an
irgendeiner Stelle:
rm -rf /$var1$var2
*patsch* an Nutzer und "Programmierer"
Greets, Karsten
Dietz Proepper
> Thus spake Dietz Proepper (dietz...@rotfl.franken.de):
>> In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
>> ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
>> Saugens noch um Welten.
>
> Du willst dir mal in Ruhe die Samba-Dokumentation geben.
BTDT. Das sogenannte Protokoll ist natürlich eine Katastrophe.
> NFS ist zwar sehr saugstark, aber jeder aufgehackte dazugekaufte Haufen
> Legacy-Müll aus dem Hause IBM/Microsoft ist mindestens in der Kategorie.
> Und SMB ist _definitiv_ in der Kategorie. Fürchterlich!
Wenigstens kann nicht jeder Client sagen "hallo, ich bin der Typ dort
'drüben".
Dietz
Dietz Proepper
> Dietz Proepper <dietz...@rotfl.franken.de> wrote:>>>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>>>einsetzt, hat eh kein Mitleid verdient.
>>>
>>> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
>>> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
>>> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
>>
>>Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt daß
>>Dateinamen nicht in bestimmten Buchstaben enden dürfen (oder so, ist
>>schon etwas her),
>
> Du meinst '\' und '\0'? Ansonsten etwas praeziser bitte - hier[0] sind ein
Ich weiß nimmer. Es ist zumindest dokumentiert.
> paar TB mit mehreren Tausend Nutzern und locker ueber Tausend Client-
> maschinen mit AFS im Betrieb. Und ueber nicht erlaubte Buchstaben im
Ich hab' ein Paar Stiefel die sind älter als Unix. Und?
> Dateinamen ist noch keiner gestolpert (und das ist eine Uni - irgendein
> Spielkind wuerde da garantiert ueber solche Tretminen stolpern so es sie
> gaebe
Schrieb ich irgendwo von Tretminen? Iirc werden irgendwelche Strukturen
in speziell benannten Dateien abgelegt. Es hörte sich einfach grauener-
regend an.
>> erinnere mich an den Sponsor und verzichte dankend.
>
> IBM? Nun, das merkt man vor allem an der Doku. "Quick"start Guide von
IBM. Der Laden der gerade dabei ist, Linux den Rest zu geben. Oder
sich fremde Lorbeeren ansteckt. Wie man das halt sehen will. Der
Anblick einer Horde IBM-Dealer wie sie nichtsahnenden, treudoofen
Kunden Schrott verchecken ist an Unschönheit kaum zu überbieten.
Korrektur. Suxxie- oder Totroot-Dealer sind noch eine Idee unan-
genehmer. Vorallem wesentlich weniger freigiebig...
> 300+ Seiten und der Rest geht duerfte auch in die Tausende Seiten gehen.
Iirc wären es wenn man IBMishms ("This Page Intentionally Left Blank")
herausnimmt vielleicht 2/3.
> Aber es funktioniert - und es gibt schlicht und einfach keine Konkurrenz
> zu AFS. Coda ist Spielwiese und nicht fuer Produktiveinsatz verwendbar,
> Intermezzo sowieso. NFS skaliert einfach nicht soweit, von Nettigkeiten
> wie "No File Security" mal abgesehen.
Ack.
> Und muessen wir wirklich ueber SMB reden?
Solange wir über SMB und nicht über Winnoz.*Server reden, warum nicht.
Und esp. dazu, ab und an NFS durch SMB ausgetauscht zu haben stehe ich.
(Die Versager welche jetzt von Broadcast labern wollen bleiben bitte
weg. Ich kann (a) mehr als 2 gedanken im Kopf halten und (b) mans UI
bedienen.)
> Einer der Hemmschuhe fuer die Verbreitung ist derzeit (vorher
> waren es die Lizenzpreise, aber irgendjemandem bei IBM scheint da wohl
> mal ein Kronleuchter aufgegangen zu sein) die Komplexitaet, mit der man
> sich erstmal auseinandersetzen muss.
Beharrlichkeit fördert das erhabene Gelingen ;).
> Einen NFS-Server hat man halt in
> Sekunden laufen, SMB "irgendwie" auch in Minuten. AFS erfordert mehr
> Lsen und Nachdenken.
AFS kann auch wesentlich mehr iirc. Aber für "daheim" ists mir viel zu
komplex, "Kunden" schwatze ich Dinge welche ich nicht kenne möglichst
nicht auf. Das letzte Mal wo ichs in den Händen hatte bin ich nicht all-
zuweit gekommen, hatte mir aber trotz des Herstellers und der Saugver-
mutung vorgenommen, es irgendwann nochmal anzuschauen.
>>In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
>>ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
>>Saugens noch um Welten.
>
> Die Kombination mit SMB an die Windosen und NFS an die UNIX-Clients kann
> aber auch sehr interessant werden.
Im Sinn eines "mögest Du in interessanten Zeiten leben" sicher.
> OpenAFS funktioniert mit Linux und
> Windows NT/2000/XP nach meinen Erfahrungen (im Rahmen der Probleme der
> Plattform - u.a. Stichwort non-case-sensitives Verhalten im VFS-Layer
> bei Windows) sehr gut.
Ich habe keine Lust, in einem Winnozumfeld irgendetwas außer SMB ein-
zusetzen. Das funktioniert wenn man weiß was man tut zumindest halbwegs.
OpenAFS mag das ebenfalls bieten, meine Erfahrung ist an der Stelle aber
daß auf der Ebene nur MS-eigene Entwickler genügend geheimes Wissen be-
sitzen um dergleichen stabil hinzubekommen.
Hatte ich erwähnt daß ich größere (>20 Boxen) Windowsnetz prinzipiell
nicht administrativ betreue?
> Ein einheitliches Netzwerkdateisystem ueber die
> relevanten Plattformen hinweg. Ein einheitlicher Namensraum,
> Replikation, Backups im laufenden Betrieb. Fileserver umstellen im
> vollen laufenden Betrieb _ohne_ das die Nutzer davon was merken wuerden,
Ack, ack, ack.
> waehrend Du bei NFS & SMB erstmal "Fileserver down" durchsagen und dann
> die Aenderungen breitstreuen darfst. Trotz aller durchaus auch
> vorhandener Fallen (z.B. Stichworte "kein Ticket", "ticket expiry") faellt
> AFS fuer mich unter Recovery.
Naja, wirklich kennen tu' ichs nicht. Aber sollte ich mal wieder in
einer geeigneten Situation sein so sei Dir versichert daß ich mich
Deiner Schilderung entsinnen werde.
Dietz
Dietz Proepper
> On Wed, 14 Aug 2002 13:06:24 +0000 (UTC), Andrea Wardzichowski
> <prin...@bofh.de> wrote:
>
>> Deine Sicht, *deren* Sicht, "die Wahrheit" oder "was wirklich geschah"?
>
> Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
> Dinge.
Du irrst. Du irrst sogar gewaltig.
Dietz
Urs [Ayahuasca] Traenkner
-v
Gruss Urs...
--
Arbeit ist der Fluch der Trinkerklasse.
Oscar Wilde
Dietz Proepper
Tja Hans, es würde mich wirklich interessieren wie Du dazu stehst
wenn Dir jemand mit etwas Fußarbeit zu einem ambulanten Klinik-
aufenthalt verhilft. Ach. Ich vergaß. Du aktivierst dann vermutlich
die kroatischen "Geschäftspartner" Deines Bekannten. (Oder war es
Verwandtschaft? Dunnoh.)
Dietz
Alexander Schreiber
>Alexander Schreiber wrote:
>> Dietz Proepper <dietz...@rotfl.franken.de> wrote:
>>>Alexander Schreiber wrote:
>>>> Felix von Leitner <usenet-...@fefe.de> wrote:
>>>>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>>>>einsetzt, hat eh kein Mitleid verdient.
>>>>
>>>> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
>>>> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
>>>> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
>>>
>>>Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt daß
>>>Dateinamen nicht in bestimmten Buchstaben enden dürfen (oder so, ist
>>>schon etwas her),
>>
>> Du meinst '\' und '\0'? Ansonsten etwas praeziser bitte - hier[0] sind ein
>
>Ich weiß nimmer. Es ist zumindest dokumentiert.
Hmm, dann muss ich bei Gelegenheit mal in den Bergen der Doku graben
gehen. Allerdings hat mich bisher nur SMB mit komischen Zeichen in
Dateinamen gebissen.
>>> erinnere mich an den Sponsor und verzichte dankend.
>>
>> IBM? Nun, das merkt man vor allem an der Doku. "Quick"start Guide von
>> 300+ Seiten und der Rest geht duerfte auch in die Tausende Seiten gehen.
>
>Iirc wären es wenn man IBMishms ("This Page Intentionally Left Blank")
>herausnimmt vielleicht 2/3.
Kaum. Aber wenn man die Hilfen fuer ahnungslose Moechtegernadmins
zusammenstreicht (Die Installation wird x-mal beschrieben - fuer _jede_
Plattform einmal fast komplett. *gna*) schon eher. Ausserdem teilweise
recht ... unknapp geschrieben ;-)
>> Einen NFS-Server hat man halt in
>> Sekunden laufen, SMB "irgendwie" auch in Minuten. AFS erfordert mehr
>> Lsen und Nachdenken.
>
>AFS kann auch wesentlich mehr iirc.
Strong ACK.
>Aber für "daheim" ists mir viel zu komplex,
Privat habe ich es auch nicht im Einsatz, fuer mein Heimnetz tut NFS.
Das AFS lief dort nur in einer Testinstallation.
>"Kunden" schwatze ich Dinge welche ich nicht kenne möglichst
>nicht auf.
Das wuerde ich jetzt mal als sinnvolle vorbeugende Schadensbegrenzung
einstufen ;-)
>Das letzte Mal wo ichs in den Händen hatte bin ich nicht all-
>zuweit gekommen, hatte mir aber trotz des Herstellers und der Saugver-
>mutung vorgenommen, es irgendwann nochmal anzuschauen.
Mach mal. Es hat wirklich einige sehr brauchbare Faehigkeiten und
Eigenschaften.
>>>In der Praxis hat man ohnehin meist zu viele Winnoz-Clients, da ist NFS
>>>ohnehin keine Option. Abgesehen davon übetrifft NFS smb bezüglich des
>>>Saugens noch um Welten.
>>
>> Die Kombination mit SMB an die Windosen und NFS an die UNIX-Clients kann
>> aber auch sehr interessant werden.
>
>Im Sinn eines "mögest Du in interessanten Zeiten leben" sicher.
So war es gemeint.
Lars Marowsky-Bree
<dietz...@rotfl.franken.de> wrote:
>>> Deine Sicht, *deren* Sicht, "die Wahrheit" oder "was wirklich geschah"?
>> Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
>> Dinge.
> Du irrst. Du irrst sogar gewaltig.
Okay. Jemand kann luegen oder zitieren. Das wars dann aber auch.
Andreas Krey
>Dietz Proepper wrote:
>>Lars Marowsky-Bree wrote:
>>> Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
>>> Dinge.
>>Du irrst. Du irrst sogar gewaltig.
>
>-v
man Troll; man Politiker
Andreas
Felix von Leitner
> 'drüben".
Vergiß nicht, daß die Clients Windows sind, d.h. deine Aussage basiert
auf der Annahme, daß man unter Windows nicht einfach so Admin-Rechte
kriegt. Das relativiert die Aussage dann doch deutlich.
Hans Bonfigt
> On Wed, 14 Aug 2002 14:18:43 BST, Felix von Leitner wrote:
>> Aber wenn Hans meine Familie oder meine Firma herabwürdigt, ist eine
>> Grenze überschritten.
> Es ist generell nicht nett[tm] Menschen zu beleidigen.
Och, findest Du ? Dem kann ich nicht ganz folgen.
Fies wird es nur, wenn die Beleidigungen primitiv werden, so
wie bei Fiffi. Und langsam wird meine Magensaeure unruhig.
Inwiefern haette ich seine Familie "herabgewuerdigt".
Oder seine "Firma" ?
Also, ich wiederhol' mich nochmal, generell ist ein "rauher
Umgangston" vielleicht nicht schoen, aber wir wissen ja, wo
wir hier sind. Was mich - buchstaeblich - zum Brechreiz
treibt, ist die eklige Bigotterie dieses kleinen Klaeffers:
Waehrend der kleine Angstbeisser keine Gelegenheit auslaesst,
mit geiferndem Maul zu schnappen, verzieht er sich winselnd
in die Ecke, wenn man nach ihm tritt. Das ist wirklich der
Gipfel.
> Die Lösung wäre einfach: Hört beide damit auf.
Ja, natuerlich. Du wirst bemerkt haben, dass ich Fiffis
Tiraden seit einiger Zeit ignoriere. Aber deswegen lass'
ich mir doch nicht den Mund verbieten. Und wenn mir ein
Mitarbeiter von "Code Blau" erzaehlt, dass er sein DSL-
Problem geloest habe, indem er die MTU seiner Rechner
verringert habe, dann mag das vielleicht fies sein, wirft
aber ein bezeichnendes Licht auf eine gewisse Diskrepanz
zwischen Anspruch und Wirklichkeit. Richtig erbaermlich
finde ich es, dass Fiffi nicht einmal das Minimum an Cha-
rakter hat, einfach mal zu den Tatsachen zu stehen.
In gewisser Weise betrachte ich Fiffi mit einer Art Hass-
liebe, wegen seiner teilweise wirklich virituosen Polemik
(auch das will gelernt sein, Dietz ist ein Paradebeispiel
fuer einen Rohrkrepierer), aber auch, weil er mamchmal
wirklich wichtige Dinge pointiert auf den Punkt bringt.
Kann man intelligenten Menschen auf Dauer boese sein,
wo man von degenerierten Idioten regelrecht umringt ist ?
Nein, man kann nicht. Aber mittlerweile ueberwiegt bei
mir wirklich der Ekel vor soviel Bigotterie, Feigheit und
Falschheit.
Deswegen werde ich mich bemuehen, keinerlei Anspielungen
mehr in Richtung Fiffi loszulassen - einfach um mir sein
unappetitliches Gewinsel zu ersparen - und nicht nur mir.
Gruss Hans
RRAR
Eric Schaefer
> zu lange Zeilenumbrüche
Wie lang ist denn so ein Zeilenumbruch für gewöhnlich?
SCNR,
Eric
--
> Die Existenz der Dirakschen Monopole ist nach wie vor nicht falsifiziert.
Die von weißen Raben auch nicht. So what?
-- Lutz Donnerhacke und Florian Weimer in dasr
Mario Lorenz
> Rate mal, warum ich SMB durch AFS ersetze beim derzeitigen Arbeitgeber.
> Seit ich einen groesseren Baum mit etwas bunten Zugriffsrechten ins AFS
> verlegt habe brauche ich auch nicht mehr regelmaessig als root mit
> chown/chmod da drin rumzuwerfen weil Windows in Tateinheit mit Samba
> interessante Rechte gebaut hat, ausserdem kann sich dank der ACLs der
> zustaendige Abteilungsleiter selber um die Zugriffsrechte in seinem
> Bereich kuemmern[0]. Ausserdem faellt damit der Murks mit einem Dutzend
> gemounteter "Netzlaufwerke" an den Windosen weg. Zwei "Laufwerke" mit
> jeweils unterschiedlicher Sicht ins AFS (/afs und /afs/$FIRMA/home) und
> gut ist. Kommt der Standardisierung der Kisten _sehr_ entgegen.
Wo war doch gleich die Studie die irgendwann mal rumschwirrte, das
Linux/Unix es nie zum Desktop schaffen würden, wegen kryptischer langer
Pfade und Namen speziell im Netzwerk-Filesystem-Bereich, anstelle so kurzer
und einprägsamer Laufwerksbezeichnungen wie F: ? :))
Ich setze OpenAFS hier aus zwei Gründen nicht ein:
a) steht in der Roadmap: "... is known to corrupt data under circumstances
not entirely clear..." WTF ??
b) OpenAFS kann keine Files > 2GB. Mir wurde zwar erzählt, dass es
Client-Support wohl mittlerweile gäbe, und Server-Support im MR-AFS,
aber naja..
Da gibts etwas, was ich gerne den "RTL8139-Effekt" nenne: Das Design saugt
Universen durch Strohhalme, aber es is billig, deswegen wird es von Millionen
nicht-irrender Fliegen verwendet, und damit ist die Software mittlerweile
soweit debugt, dass die Schmerzen erträglich sind.
U.A. Samba zähle ich in diese Kategorie...
Mario
--
Mario Lorenz Internet: <m...@vdazone.org>
Ham Radio: DL5MLO@OK0PKL.#BOH.CZE.EU
Mario Lorenz
>
> Nein, ich weiß nicht, wieso Netcologne 1464 empfiehlt ("Erfahrungswert").
>
Ich habe mal eine Rechnung gesehen, nachder bei einer MTU von 1492
Bandbreite verschenkt wird, weil DSL üblicherweise als PPPoe über Ethernet
über ATM realisiert wird, und bei einer MTU von 1492 die letzte ATM-Zelle
im AAL5-Rahmen nicht voll ausgenutzt wird. Die Theorie ist wohl, dass mit
kleinerer MTU die letzte "halbe" Zelle entfällt, und durch eine volle
ersetzt werden kann. -> "Mehr Bandbreite"
Nein, ich habe das nicht nachgerechnet.
Nein, ich habe mir auch nicht den Kopf darüber zerbrochen, ob durch den jetzt
relativ gesehen häufiger zu sendenden TCP-Header dieser "Vorsprung"
zunichtegemacht wird.
Mario Lorenz
> Genau, und wie! Plenken, schlechte Rechtschreibung, postet als root@,
> zu lange Zeilenumbrüche, falsche Signaturen, von dir haben wir wirklich
> schon alles gehabt. Vom inhaltlichen wollen wir mal gar nicht erst
> anfangen.
Und das reicht neuerdings für eine strafbewehrte Unterlassungserklärung
bzw. in der Folge eine Einstweilige Verfügung ?
Sich wundernd,
Thomas Hühn
> Vergiß nicht, daß die Clients Windows sind, d.h. deine Aussage basiert
> auf der Annahme, daß man unter Windows nicht einfach so Admin-Rechte
> kriegt. Das relativiert die Aussage dann doch deutlich.
In der Regel ja. Aber was kann das arme Protokoll dafür, von wem es
gesprochen wird?
Thomas
Matthias Kabel
> Felix von Leitner <usenet-...@fefe.de> wrote:
>
>
> > Genau, und wie! Plenken, schlechte Rechtschreibung, postet als root@,
> > zu lange Zeilenumbrüche, falsche Signaturen, von dir haben wir wirklich
> > schon alles gehabt. Vom inhaltlichen wollen wir mal gar nicht erst
> > anfangen.
>
> Und das reicht neuerdings für eine strafbewehrte Unterlassungserklärung
> bzw. in der Folge eine Einstweilige Verfügung ?
Hängt vom Gericht ab. Wie war das früher in gewissen Gegenden? Give
him a fair trial and hang him.
Allerdings im Augenblick in der Bundesrepublik ein ordentliches
Gericht zu finden, das diesen Fall behandelt dürfte eher schwierig
werden. Für die Beleidigungen, die hier gewisse Leute fast
ununterbrochen von sich geben dürfte das hingegen kein Problem sein.
Allerdings kann ein guter Anwalt mittels Google sicher auf
Unzurechnungsfähigkeit plädieren.
SCNR
Matthias
--
http://www.salzburg.luga.or.at LUG Salzburg
http://www.unixstuff.de Nette T-Shirts für Unix-Freunde
Florian Weimer
>> Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
>> Dinge.
>
> Du irrst. Du irrst sogar gewaltig.
Stimmt. Weite Teile der Bevölkerung haben erhebliche Schwierigkeiten,
ihre Gedanken so zu Papier zu bringen, daß sich die dabei
einschleichenden Abweichungen in für sie und andere hinnehmbaren
Grenzen hält.
Uwe Ohse
>Allerdings kann ein guter Anwalt mittels Google sicher auf
>Unzurechnungsfähigkeit plädieren.
Bitte Deinen Anwalt doch einfach darum.
Gruß, Uwe
Uwe Ohse
>Ja, natuerlich. Du wirst bemerkt haben, dass ich Fiffis
>Tiraden seit einiger Zeit ignoriere.
Kannst Du diesen Wunsch vielleicht in die Tat umsetzen?
Gruß, Uwe
Tino Schwarze
>>>>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>>>>einsetzt, hat eh kein Mitleid verdient.
>>>>
>>>> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
>>>> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
>>>> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
>>>
>>>Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt da?
>>>Dateinamen nicht in bestimmten Buchstaben enden d?rfen (oder so, ist
>>>schon etwas her),
>>
>> Du meinst '\' und '\0'? Ansonsten etwas praeziser bitte - hier[0] sind ein
> Ich wei? nimmer. Es ist zumindest dokumentiert.
Man darf keinen Symlink anlegen, dessen Ziel mit "#" oder "%" beginnt.
Das ist dann naemlich ein Mountpoint.
Mario Lorenz
> Hmpf. Aber das ist doch alles Grundschulmathematik. Mal sehen.
Ja. Mag sein. Der Haken daran ist, kein Protokoll beim
Zusammenzählen des Overheads zu vergessen.
Eine Suche mit google brachte dann
www.mynetwatchman.com/kb/adsl/pppoemtu.htm
zu Tage, und wenn die nicht irgend eine Zwiebelschale vergessen
haben, lautet die "optimale" MTU 1454 Byte. Hat sich Netcologne
möglicherweise verschrieben...
Dietz Proepper
> On Wed, 14 Aug 2002 17:21:16 +0200, Dietz Proepper
> <dietz...@rotfl.franken.de> wrote:
>
>>>> Deine Sicht, *deren* Sicht, "die Wahrheit" oder "was wirklich geschah"?
>>> Niemand kann etwas anderes schreiben als _seine_ (oder auch: ihre) Sicht der
>>> Dinge.
>> Du irrst. Du irrst sogar gewaltig.
>
> Okay. Jemand kann luegen oder zitieren. Das wars dann aber auch.
Schonmal was von Einfühlungsvermögen gehört?! Die Tatsache daß ich eine
Sicht durchdenken ("nachvollziehen") kann bedeutet nicht daß ich sie zu
meiner mache. Es gibt gar eine Menge von Sichten die ich nicht teile,
die aber einfach zu originell sind um sie zu verwerfen. Diese schreibe
ich u.U. dann auch.
Dietz
Dietz Proepper
> Thus spake Dietz Proepper (dietz...@rotfl.franken.de):
>> Wenigstens kann nicht jeder Client sagen "hallo, ich bin der Typ dort
>> 'drüben".
>
> Vergiß nicht, daß die Clients Windows sind, d.h. deine Aussage basiert
De nada. Ich kann auch Unices SMB sprechen lassen.
> auf der Annahme, daß man unter Windows nicht einfach so Admin-Rechte
> kriegt. Das relativiert die Aussage dann doch deutlich.
Das Protokoll ist von der Form daß Tannenbaum vermutlich Schäfer ge-
worden wäre, hätte er geahnt wie man Netze verunstalten kann.
Aber zumindest gegenüber NFS würde ich es jederzeit vorziehen.
Dietz
Dietz Proepper
man Quatschkopf
Alexander Schreiber
>Dietz Proepper <dietz...@rotfl.franken.de> wrote:
>
>>>>>>Das kann ja nur bei UDP, d.h. bei NFS eine Rolle spielen, und wer das
>>>>>>einsetzt, hat eh kein Mitleid verdient.
>>>>>
>>>>> Ja, es wird aus guten Gruenden auch "No File Security" oder auch
>>>>> "Nightmare FileSystem" ausgesprochen, ich weiss. Aber was willst Du als
>>>>> Ersatz verbauen? Der einzige brauchbare Kandidat ist IMHO AFS.
>>>>
>>>>Naja, bei AFS komm' ich in der Doku immer bis zu dem Punkt da?
>>>>Dateinamen nicht in bestimmten Buchstaben enden d?rfen (oder so, ist
>>>>schon etwas her),
>>>
>>> Du meinst '\' und '\0'? Ansonsten etwas praeziser bitte - hier[0] sind ein
>
>> Ich wei? nimmer. Es ist zumindest dokumentiert.
>
>Man darf keinen Symlink anlegen, dessen Ziel mit "#" oder "%" beginnt.
>Das ist dann naemlich ein Mountpoint.
Ach so, _das_. Ok, daran hatte ich nicht gedacht.
Dietz Proepper
Das ist eher ein Problem der verwendeten Sprache und keinesfalls
Vorsatz.
Dietz
Florian Weimer
>> Stimmt. Weite Teile der Bevölkerung haben erhebliche Schwierigkeiten,
>> ihre Gedanken so zu Papier zu bringen, daß sich die dabei
>> einschleichenden Abweichungen in für sie und andere hinnehmbaren
>> Grenzen hält.
>
> Das ist eher ein Problem der verwendeten Sprache und keinesfalls
> Vorsatz.
Ja, wie der Kongruenzfehler in meinem Satz (und weitere andere
auch). Vielleicht sollte ich mal einen Parser schreiben, der vor dem
Absenden tätig wird (obwohl das als Muttersprachler nicht besonders
erfolgsversprechend ist).
Lutz Donnerhacke
>Danke für die Korrektur; bleibt bloß noch, warum ich Pingzeiten
>von ~50 ms zum ersten Hop habe (NC sagt, das wäre meiner Netzwerk-
>karte Schuld, jedoch pinge ich das DSL-Modem (kann http, telnet usw)
>mit "normalen" LAN-Zeiten). Hauke Johannknecht erwähnte mir gegenüber
>mal den Namen irgendeiner Technik, die man auf DSL-Leitungen anschalten
>könne und die *elekom wohl üblicherweise anhabe (NC ist in Bonn D*AG-
>Reseller), konnte mir aber nicht erklären, warum letztes Jahr die
>Zeiten bei 5-10 ms lagen.
man Interleaving.
Nein, das will man nicht abschalten, da dann die Wahrscheinlichkeit für
Paketverluste dramatisch ansteigt.
Ja, die Telekom schaltet Interleaving ab, wenn der Kunde anruft und das Wort
"Online-Spiel" benutzt. Nein, das wird nicht bei Telekom dokumentiert. Ja,
das setzt eine Umkonfiguration beider Seiten der DSL Strecke voraus. Ja,
nach einem 'Reset to factory default' -> Backup am DSLAM müssen alle Leute,
die Interleaving haben, mit >60% Wahrscheinlichkeit den Support bemühen.
Juergen P. Meier
> Alexander Schreiber wrote:
>> Richtig, die Tage fand das URZ auf der Maschine ein "rm -rf /".
>
> Detail am Rande: Schuld war ein Nutzer der irgendein Script was er
> irgendwo gefunden hatte ausprobieren wollte.
>
> In der Config wusste er aber nicht, was er bei ein paar der Variablen
> eintragen sollte und liess sie daher leer. Leider macht das Script an
> irgendeiner Stelle:
> rm -rf /$var1$var2
>
> *patsch* an Nutzer und "Programmierer"
Aehem, Wenn ein $BENUTZER so einfach einen $SERVER Plattmachen kann,
dann ist *NICHT* der $BENUTZER daran Schuld.
oder: Der LART geht nach hinten los.
Ich hoffe der Webserveradmin hat dort nichts mehr zu Administrieren.
Lutz Donnerhacke
>Lutz Donnerhacke wrote:
>> Ja, die Telekom schaltet Interleaving ab, wenn der Kunde anruft und das Wort
>> "Online-Spiel" benutzt.
>
>Spiele -, aber ich habe die glaubhaften Schilderungen verschiedener Personen
>die es versucht haben.
Ich habe nur die Schilderungen der Techniklieferanten von DTAG-DSLAMs.
Alexander Schreiber
>Karsten Petersen <wunsc...@kapet.de> wrote:
>> Alexander Schreiber wrote:
>>> Richtig, die Tage fand das URZ auf der Maschine ein "rm -rf /".
>>
>> Detail am Rande: Schuld war ein Nutzer der irgendein Script was er
>> irgendwo gefunden hatte ausprobieren wollte.
>>
>> In der Config wusste er aber nicht, was er bei ein paar der Variablen
>> eintragen sollte und liess sie daher leer. Leider macht das Script an
>> irgendeiner Stelle:
>> rm -rf /$var1$var2
>>
>> *patsch* an Nutzer und "Programmierer"
>
>Aehem, Wenn ein $BENUTZER so einfach einen $SERVER Plattmachen kann,
>dann ist *NICHT* der $BENUTZER daran Schuld.
Nein - lies mein diesbezuegliches Posting einfach nochmal in Ruhe durch.
Dem _Server_ ist genau gar nichts passiert. So wie es sein sollte. Es hat
Daten in $HOMEs von Nutzern erwischt, die dummerweise die ACLs
entsprechend unguenstig gesetzt haben. Im Prinzip der Effekt, als ob Du
in Deinem $HOME - aus welchen seltsamen Gruenden auch immer - ein paar
Verzeichnisse mit 777 "beglueckst", den Pfad dahin offen laesst und dann
jemand ein "rm -rf /" drueberscheucht.
>Ich hoffe der Webserveradmin hat dort nichts mehr zu Administrieren.
Hat er ganz gewiss nach wie vor - er hat naemlich nichts falsch gemacht.
Der Fehler lag beim Nutzer und hat auch ausschliesslich Nutzer erwischt.
Und von denen auch nur die, die das selber explizit erlaubt haben, dass
man sie so aergern kann.
frank paulsen
> Lutz Donnerhacke wrote:
>> Ja, die Telekom schaltet Interleaving ab, wenn der Kunde anruft und das Wort
>> "Online-Spiel" benutzt.
>
> Nein, tut sie nicht. Ich habe es nicht probiert - ich spiele keine derartigen
> Spiele -, aber ich habe die glaubhaften Schilderungen verschiedener Personen
> die es versucht haben.
ueber die geschaeftskundenbetreuung habe ich das hinbekommen, fuer
normale daddler gibt es aber einen textbaustein, der diesen service
bestreitet.
honestly, telnet laeuft ueber die leitung jetzt viel geschmeidiger :-)
--
frobnicate foo
Lars Marowsky-Bree
<dietz...@rotfl.franken.de> wrote:
>> Okay. Jemand kann luegen oder zitieren. Das wars dann aber auch.
>
> Schonmal was von Einfühlungsvermögen gehört?! Die Tatsache daß ich eine
> Sicht durchdenken ("nachvollziehen") kann bedeutet nicht daß ich sie zu
> meiner mache.
Du kannst sie nur von Deiner Warte nachvollziehen/durchdenken. Du kannst nicht
die orginale Positionen 1:1 wiedergeben.
man Piaget, zB
Juergen P. Meier
> Hans Bonfigt <bonfigt....@t-online.de> wrote:
>>Lutz Donnerhacke:
>>> Manchmal will man das nicht, so daß man ein 'Dont Fragment' Bit im IP Header
>>> setzen kann, wenn das Paket nicht zerlegt werden darf.
>>
>>Gehe waehrend des Vortrags vielleicht auf die Gruende ein,
>>warum die sendende Seite dies wuenschen koennte.
>
> Das Paket sei signiert.
Und?
Es ist nach dem Reassembley immernoch signiert.
Juergen
--
_ _
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | Juergen P. Meier
Marc Haber
>> Das Paket sei signiert.
>
>Und?
>
>Es ist nach dem Reassembley immernoch signiert.
Wenn die Signatur _nach_ dem Reassembly geprüft wird.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Matthias Kabel
:-)
Ich weiß ja nicht, welche Gruppe Du so als dasr liest, ich kann mich
jedenfalls nicht erinnern hier ständig Leute zu beschimpfen. Insofern
kann ich irgendwelchen Beleidigungsklagen sehr viel gelassener als so
manch anderer entgegensehen.
Ansonsten war das natürlich die korrekte Antwort von Dir.
Andreas Barth
> * Andreas Barth scripsit...
>> Holger Marzen wrote:
>> > Abmahner sind Scriptkiddys des Rechts.
>> Nein. Serienabmahner schon. Abmahnungen beispielsweise der vzbv nach
>> §2 Unterlassungsklagengesetz haben eine intensive inhaltliche
>> Recherche vorher und einen guten inhaltlichen Grund, der ohne
>> Abmahnung nicht oder nur schwer erreichbar ist.
> Epistula non erubescit.
Was soll mir das jetzt sagen? Bloß einen lateinischen Spruch
einzufügen (wörtlich: "Ein Brief errötet nicht"), bringt für eine
Diskussion wenig.
Grüße,
Andi
--
PGP 1024/89FB5CE5 DC F1 85 6D A6 45 9C 0F 3B BE F1 D0 C5 D1 D9 0C
die Weltherrschaft erringen Ziel des Spiels "Risiko" 1976
die Welt zu befreien ... und 1990.
Juergen P. Meier
> "Juergen P. Meier" <ne...@jors.net> wrote:
>>Marc Haber <mh+use...@zugschlus.de> wrote:
>>> Das Paket sei signiert.
>>
>>Und?
>>
>>Es ist nach dem Reassembley immernoch signiert.
>
> Wenn die Signatur _nach_ dem Reassembly geprüft wird.
Was das einzig Sinnvolle ist.
Oder willst du Pakete auf einem Router pruefen? Warum?
gegen was? Und wie willst du dabei DF erzwingen?
Dietz Proepper
> On Wed, 14 Aug 2002 23:54:35 +0200, Dietz Proepper
> <dietz...@rotfl.franken.de> wrote:
>
>>> Okay. Jemand kann luegen oder zitieren. Das wars dann aber auch.
>>
>> Schonmal was von Einfühlungsvermögen gehört?! Die Tatsache daß ich eine
>> Sicht durchdenken ("nachvollziehen") kann bedeutet nicht daß ich sie zu
>> meiner mache.
>
> Du kannst sie nur von Deiner Warte nachvollziehen/durchdenken. Du kannst nicht
> die orginale Positionen 1:1 wiedergeben.
Ack ;).
Dietz Proepper
> * Thorsten Glaser wrote:
>>Danke für die Korrektur; bleibt bloß noch, warum ich Pingzeiten
>>von ~50 ms zum ersten Hop habe (NC sagt, das wäre meiner Netzwerk-
>>karte Schuld, jedoch pinge ich das DSL-Modem (kann http, telnet usw)
>>mit "normalen" LAN-Zeiten). Hauke Johannknecht erwähnte mir gegenüber
>>mal den Namen irgendeiner Technik, die man auf DSL-Leitungen anschalten
>>könne und die *elekom wohl üblicherweise anhabe (NC ist in Bonn D*AG-
>>Reseller), konnte mir aber nicht erklären, warum letztes Jahr die
>>Zeiten bei 5-10 ms lagen.
>
> man Interleaving.
> Nein, das will man nicht abschalten, da dann die Wahrscheinlichkeit für
> Paketverluste dramatisch ansteigt.
Das würde aber der ppp-Schicht auffallen, oder? Abgesehen davon würde
man sich wünschen daß die Telekomiker sowas individuell einstellen,
wie das z.B. $lokale_telco angeblich macht.
> Ja, die Telekom schaltet Interleaving ab, wenn der Kunde anruft und das Wort
> "Online-Spiel" benutzt.
Das tat sie zumindest im Nürnberger Raum vor 8 Wochen noch nicht.
> Nein, das wird nicht bei Telekom dokumentiert. Ja,
> das setzt eine Umkonfiguration beider Seiten der DSL Strecke voraus. Ja,
> nach einem 'Reset to factory default' -> Backup am DSLAM müssen alle Leute,
> die Interleaving haben, mit >60% Wahrscheinlichkeit den Support bemühen.
Telekom. Seufz.
Dietz
Andreas Krey
>Andreas Krey wrote:
>>
>> man Troll; man Politiker
>
>man Quatschkopf
Das ist doch dasselbe. :-)
Andreas
Andreas Krey
>
>Alternativ: 30*48=1440 *argh* wieso erinnert mich das an Disketten...
>
Keine Ahnung. Mich erinnert das an Minuten pro Tag.
Bei Disketten komme ich eher auf 2002. Oops?
Andreas
Bodo Eggert
Nein, Obermenge.
--
Top 100 things you don't want the sysadmin to say:
78. Do you smell something?
Erik Tews
> Abmahner sind Scriptkiddys des Rechts.
Lutz, fdi? Oder passt das da nicht rein?
Lutz Donnerhacke
Es paßt nicht, da in diesem Segment: Abmahner = Günther = Hacker != Scriptkid.
Holger Marzen
Günther hat natürlich eine Sonderstellung. Er hat die Scripts
geschrieben. Ich meinte mit Scriptkiddys die Leute in seinem Fahrwasser.
Maximilian Wilhelm
> Maximilian Wilhelm wrote:
> > * Andreas Barth scripsit...
> Was soll mir das jetzt sagen? Bloß einen lateinischen Spruch
> einzufügen (wörtlich: "Ein Brief errötet nicht"), bringt für eine
> Diskussion wenig.
damit wollte ich mal ganz leise andeutet, wie schwammig der von Dir
zitierte Text ist. Man muss sich doch nur $beliebigen Grund ausdenken,
der $irgendwie $interessant sein koennte und schon kannst losgehen...
Ciao
Max
--
| .-. | Diese Nachricht wurde erstellt mit | .-. |
| /v\ | Hilfe eines freilaufenden Pinguins | /v\ |
| /( )\ | aus artgerechter Freiland Haltung ! | /( )\ |
| ^^ ^^ | <= Tux the penguin => | ^^ ^^ |
Ralph Angenendt
> Und wenn mir ein Mitarbeiter von "Code Blau" erzaehlt, dass er sein
> DSL- Problem geloest habe, indem er die MTU seiner Rechner verringert
> habe, dann mag das vielleicht fies sein, wirft aber ein bezeichnendes
> Licht auf eine gewisse Diskrepanz zwischen Anspruch und Wirklichkeit.
Da du wahrscheinlich den gleichen Mitarbeiter meinst der auch vor meinem
geistigen Auge herumschwimmt, kann ich dir garantieren, dass dieser
Mitarbeiter nur die MTU auf dem PPPoE-Interface niedriger gesetzt hat.
Alle anderen Rechner in dem Netz fahren natürlich weiterhin mit der
"normalen" MTU von 1500 Byte.
Ralph
--
My tapeworm tells me where to go
-- System of a down
Martin Bienwald
> Bin ich in einem Paralleluniversum
> gelandet? OK, ich bin in Bielefeld geboren ...
Bezeichnen SIE diesen Vorgang neuerdings als "geboren"? Naja, SIE haben
halt einen seltsamen Humor ... ;-)
... Martin
Hans Bonfigt
> Da du wahrscheinlich den gleichen Mitarbeiter meinst der auch vor meinem
> geistigen Auge herumschwimmt,
Ja, ins Schwimmen kommen die schonmal.
> kann ich dir garantieren, dass dieser
> Mitarbeiter nur die MTU auf dem PPPoE-Interface niedriger gesetzt hat.
Dann habe ich "Wir haben die MTU auf dem Server auf 1492 reduziert" zu
richtig verstanden.
Gruss Hans
Ulrich Eckhardt
> Moment mal: Fefe und Lutz sind einer Meinung, Lutz schreibt Romane,
> Hans gibt eine Wissenslücke zu. Bin ich in einem Paralleluniversum
Es gibt noch weitere Postings wo Lutz und Fefe gleicher Meinung
sind. Lutz hatte eventuell einfach nur einen schlechten Tag und
Hans ist ohnehin eine einzige Wissenslücke.
> gelandet? OK, ich bin in Bielefeld geboren ...
Bielefeld liegt ohenhin in einem Paralleluniversum. Also
abgesehen von den Wasserfluten und den Lutz'schen Wortfluten
ein ganz gewöhnlicher Tag.
Uli
--
Ulrich Eckhardt (hier erscheint demnächst
http://www.uli-eckhardt.de eine neue Signatur)
Hans Bonfigt
> Lutz hatte eventuell einfach nur einen schlechten Tag und
> Hans ist ohnehin eine einzige Wissenslücke.
Das liegt in der Natur eines Menschen. Kritisch wird es erst
dann, wenn der Mensch nicht bestrebt ist, die Wissensluecken
aufzufuellen. Dass sich dabei immer neue Wissensluecke auf-
tun, lassen wir 'mal aussen vor.
Pathologisch wird es bei Dummschwallern wie Dir, die nicht
lesen koennen und damit der Wissensvermittlung weitgehend
entsagen muessen: Roger wunderte sich nicht ueber meine Wis-
sensluecken, sondern ueber das "zugeben" einer solchen.
Andreas Barth
> Etwas freier uebersetzt bedeutet der Spruch "Papier ist geduldig", und
> damit wollte ich mal ganz leise andeutet, wie schwammig der von Dir
> zitierte Text ist. Man muss sich doch nur $beliebigen Grund ausdenken,
> der $irgendwie $interessant sein koennte und schon kannst losgehen...
Äh, ich habe keinen Text zitiert, sondern einen selbst geschrieben.
Und ich bin tatsächlich der Meinung, daß es Fälle gibt, in denen eine
Abmahnung das geeignete Mittel ist. Das fehlende Impressums auf
(normalen privaten) Webseiten nicht dazu gehören, ist für mich
allerdings auch klar.
Der Fall, an den ich jetzt gerade denke, ist allerdings (noch?) nicht
veröffentlichungsfähig. Dafür bitte ich um Verständnis.
Felix von Leitner
> ... ausser "Code - Blau" - Mitarbeitern.
Hans, eine Frage habe ich noch: Welchen Mitarbeiter meinst du denn hier?
Den, der dir kostenlos dein Notebook zum Laufen gebracht hat, oder den der
dich zum Essen eingeladen hat und den du sonst noch nie gesehen hast,
schon gar nicht bei der Arbeit?
Felix
--
Doing linear scans over an associative array is like trying to club
someone to death with a loaded Uzi.
--lw...@netlabs.com (Larry Wall)
Felix von Leitner
> > geistigen Auge herumschwimmt,
> Ja, ins Schwimmen kommen die schonmal.
Vom Boden des Meeres aus sieht das vielleicht wie schwimmen aus, wenn da
jemand vorbeisurft, ja.
> > kann ich dir garantieren, dass dieser
> > Mitarbeiter nur die MTU auf dem PPPoE-Interface niedriger gesetzt hat.
> Dann habe ich "Wir haben die MTU auf dem Server auf 1492 reduziert" zu
> richtig verstanden.
Wann soll wer das gesagt haben? So einen Unsinn sagt mit an Sicherheit
grenzender Wahrscheinlichkeit nur einer: du. Das PPPoE-Interface hat
nämlich per Definition eine MTU kleiner 1500, da setzt man nichts
runter. Man muß also ein grobes Unverständnis der Materie besitzen, um
so eine Äußerung überhaupt zu treffen, und wer könnte in dieser
Disziplin auch nur ansatzweise mit deiner Inkompetenz mithalten?
Ich würde ich ja weiter beschimpfen, aber das würde deine gelungene
Selbstvernichtungsaktion im Baud-Thread nur schmälern. Weiter so, Hans.
Felix