微软拥有一种名为“点对点”VPN的技术。 ( reference1 , reference2 ) 我有以下内部类“A”networking定义的前提下: 10.2.0.0/16 10.4.0.0/16 10.40.0.0/16 10.20.0.0/16 我定义了以下Azurenetworking: 10.201.0.0/16 10.202.0.0/16 10.203.0.0/16 我想创build专用于点对点VPN的子网 10.200.0.0 / 16 当我在门户网站中这样做时,VPN客户端将添加10.0.0.0/8的默认路由。 微软的理由是在RFC1918,他们拒绝让我自定义这条路线。 在我看来,他们显然误解了这个RFC不适用于这种情况。 当我将networking掩码更改为168.192.1.0时,将应用B类路由。 这工作,但它是令人讨厌的,我需要偏离我的编号模式,因为Microsoft支持的RFC的误解 他们的回复: 根据RFC 1918的规定,地址空间必须是私有地址范围,以CIDR表示法10.0.0.0/8,172.16.0.0/12或192.168.0.0/16指定。 请注意,以下路由将分别添加到客户端,以将stream量从本地计算机引导到虚拟networking:10.0.0.0/255.0.0.0,172.16.0.0/255.255.0.0或192.168.0.0/255.255.255.0 。 这意味着,例如,如果您为VPN客户端地址空间指定了10.0.0.0/8,则可能无法联系本地子网上的其他10.0.0.0/8地址。 任何你select以10.xxx开头的地址空间都会导致这个问题(不仅仅是10.0.0.0/8)。 无论您如何select在Azure中定义它(例如:10.1.0.0/24),VPN客户端软件包都会将此VPN地址空间视为A类(255.0.0.0子网掩码)。 所以我们总是要求我们的客户在创build他们的P2S环境时使用192.168.0.0/X范围,并且确保它不与本地可能有的任何子网(其P2S客户端连接的地方)重叠。 题 我错了吗? Microsoft是否应该支持10.x范围的自定义CIDR掩码? 我怎样才能说服他们呢?
问题与标题所说的完全一样。 ccTLD / gTLD(和根服务器是否会自动进入我的设想)是否使用caching? 它提供什么types的响应? 我知道他们给指向特定域的名称服务器的指针,但响应types被称为? ( hinttypes?) 我搜查了很多,但找不到任何类似的问题,对不起,如果这是一个骗局。
我正在尝试为NAT防火墙后面的专用networking(RFC1918)定义一个子域名; 我们称之为priv.example.com。 通常,从我可以在各种网站上收集的内容,可以通过将example.com的公共和外部DNS服务器的子域委派给另一个对priv.example.com为内部和权威的DNS服务器来完成。 但是,我有一些问题需要克服这个解决scheme。 首先是我不需要或者不希望公共互联网知道priv.example.com。 我想这可以用绑定视图来处理,但是我还没有弄明白这一点(我也不确定我们的DNS主机是否支持视图)。 第二个是,我将不得不在防火墙上打开一个洞,并创build一个地址转换,以便外部DNS服务器可以看到内部的一个。 这似乎是不必要的安全风险。 有没有办法创build这个场景,而不使公共DNS服务器知道priv.example.com的私人DNS? 我正在使用bind9作为内部私人服务器。 有一个更好的整体解决scheme,为我的私人networking提供名称服务? 我见过其他更有争议的解决scheme,例如使用专用顶级域名(TLD)或为专用networking中的二级域名定义重复的“主”DNS。 这些对我来说看起来像是丑陋的黑客。
我正在挖掘HTTP严格传输安全规范https://tools.ietf.org/html/rfc6797 它指定标题的语法如下: Strict-Transport-Security: max-age=15768000 ; includeSubDomains RFC指定诸如“max-age”之类的指令名称是不区分大小写的,但明确指出头名称“Strict-Transport-Security”是否区分大小写。 是否有更多的一般规则来pipe理呢? 或者,也许我错过了RFC的东西?
场景:我有一个运行Win7 Pro和OpenVPN客户端的客户, 这个工作站是从他们的一个雇员用远程命令发送到(Windows)OpenVPN服务器,都使用psexec和SMB。 发生了什么事情:一切都好几年了,直到他们的系统pipe理员升级到Windows 10 Pro的工作站。 他依靠Windows升级顾问,只是卸载标记为不兼容的旧防病毒软件。 升级之后,他真诚地做了以下testing: – 检查客户端上的openvpn服务 – >运行 -ping 10.8.0.1(服务器的ip) – >确定 所以他显然认为一切都很好。 由于员工在夜间使用该工作站,因为员工无法发送更新,所以在我涉及内部系统pipe理员的那天早上。 他说没有任何服务通过vpn发送回复,只有icmp正在工作。 首先,我做了一些telnet到我期望可以访问的端口,发现我的即时连接被拒绝。 我做了一个ping,并在250的回复中find了一个TTL值! 我做了以下tracert: C:\>tracert -w 100 10.8.0.1 Traccia instradamento verso 10.8.0.1 su un massimo di 30 punti di passaggio 1 3 ms 2 ms 2 ms 192.168.0.4 2 1 ms 2 ms 2 ms 192.168.22.41 3 […]
它是否根据RFC-3865的规定,在Advertise NO-SOLICITING中指定Solicitation class关键字? 例如: dom.spammer:ADLT,dom.listing:ADV
我有一个sendmail服务器configuration为智能主机到下游资源。 目前的configuration是: define(`SMART_HOST',`relay:[vip.example.local]')dnl 因为它正在发送vip.example.local的Alogging。 我被告知这违反了IETF RFC-5321第5.1节的规定: 一旦SMTP客户端从词汇上识别邮件将要到达的域 交付处理(如2.3.5和3.6节所述),必须执行DNS查找以parsing域名(RFC 1035 [2])。 预计这些名称将是完全合格的域名 (FQDN):从部分名称或本地推断FQDN的机制 别名不在本规范之内。 由于的历史 问题,用于初始提交消息的SMTP服务器不应该做这样的推理(消息提交服务器[18]) 有点更多的灵活性)和中间(中继)SMTP服务器不能让他们。 查找首先尝试查找与该名称关联的MXlogging。 如果find一条CNAMElogging,则会将结果名称作为初始名称进行处理。 如果返回不存在的域错误,则必须报告此情况为错误。 如果返回一个临时错误,则消息必须排队并稍后重试(见4.5.4.1节)。 如果返回空的MX列表,则将该地址视为与隐式MX RR关联,优先级为0,指向该主机。 如果MXlogging存在但它们都不可用,或者隐式MX不可用,则必须将此情况报告为错误。 如果find给定名称的一个或多个MXRR,SMTP系统不得使用与该名称相关联的任何地址RR,除非它们使用MXRR来定位; 上面的“隐含MX”规则只适用 如果没有MXlogging存在。 如果MXlogging存在,但是 没有一个是可用的,这种情况必须报告为错误。 当查找与MX RR相关的域名时, 关联的数据字段获得,该响应的数据字段必须 包含一个域名。 该域名在被查询时必须返回 至less一个给出IP的地址logging(例如,A或AAAA RR) 消息应该指向的SMTP服务器的地址。 任何其他响应,特别是包括在查询时将返回CNAMElogging的值,都不在本标准的范围之内。 parsing为CNAME的数据中的标签是禁止的 在RFC 2181的第10.3节[38]中有更详细的讨论。 由于邮件服务器支持智能主机到IP的选项,我不明白智能主机对Alogging的影响可能是违反的。
可能重复: 电子邮件怎么能被路由到没有地址的正确的地方? 我现在已经看了好几遍了。 我将通过@ yahoo.com帐户收到我pipe理的域名([email protected])上的电子邮件,但To标头的电子邮件地址完全不相关! DKIM签名包含To头,并通过validation。 怎么会这样? 例: Return-Path: <[email protected]> Received: from nm8.bullet.mail.ukl.yahoo.com (nm8.bullet.mail.ukl.yahoo.com [217.146.182.249]) by mx.example.com with SMTP; Mon, 19 Nov 2012 16:38:59 -0500 Received: from [217.12.10.106] by nm8.bullet.mail.ukl.yahoo.com with NNFMP; 19 Nov 2012 21:38:56 -0000 Received: from [217.146.183.128] by tm20.bullet.mail.ukl.yahoo.com with NNFMP; 19 Nov 2012 21:38:40 -0000 Received: from [127.0.0.1] by smtp113.mail.ukl.yahoo.com with […]
这是我目前的SPFlogging。 它适用于Gmail和雅虎,但Hotmail忽略。 所以我用他们的提交系统,现在他们回答我下面的文字。 这是我目前的spf v=spf1 a mx ptr ~all 现在这是hotmail消息 我们已经成功将您的域名添加到发件人ID程序。 这可能需要2个工作日才能完全复制到我们的系统中。 如果您对此有任何疑问,请告诉我。 我们检查了您的SPFlogging并注意它包含“ptr”或反向DNS查找机制。 对于SPFlogging(RFC 4408)的规范,由于性能和可靠性原因,不鼓励使用“ptr”。 这对于Windows Live Mail,Hotmail和其他大型ISP来说尤为重要,因为我们每天收到的邮件量非常大。 我们强烈build议您从SPFlogging中删除“ptr”机制,并在必要时将其replace为不需要反向DNS查找的其他SPF机制,如“a”,“mx”,“ip4”和“include “。 这将有助于确保尽可能准确地执行发件人IDvalidation,从而最大限度地提高电子邮件传送能力,同时保护您的域名免受欺骗。 所以我的问题很简单。 什么是正确的方式,以使其成为Hotmail的要求。 谢谢。 Hotmail从我的服务器头收到电子邮件 Authentication-Results: hotmail.com; sender-id=temperror (sender IP is 85.17.154.139) [email protected]; dkim=pass header.d=monstermmorpg.com; x-hmca=pass X-Message-Status: n:0:n X-SID-PRA: MonsterMMORPG <[email protected]>
根据RFC 2181 http://tools.ietf.org/html/rfc2181#section-10.3 10.3。 MX和NSlogging 用作NS资源logging的值或MX资源logging的一部分值的域名不能是别名。 这个规范不仅说明了这一点,而且在这两个位置上使用别名既没有希望,也没有实现可能导致这种方法的雄心。 该域名必须具有一个或多个地址logging的值。 目前这些将是Alogging,但是将来其他loggingtypes给出寻址信息可能是可以接受的。 它也可以有其他的RR,但从来没有一个CNAME RR。 为什么这个限制已经到位? 我假设由于解决了开销,但现在是否真的很昂贵? 从使用CNAME交换的MXlogging不正确的经验来看,在几年的过程中没有遇到任何问题,除了一些邮件中继找不到MX交换。