[size=4][align=center]动手验证电信DNS劫持对RBL的影响[/align][/size]
前段时间梭子鱼防火墙的RBL判断出现异常,它将所有的IP(白名单IP除外)都判断成在黑名单内,我们使用的是sbl.spamhaus.org和xbl.spamhaus.org。起初怀疑是其服务出现问题,后来恰逢DNS根域服务器遭受攻击,都以为是根域服务器的影响,就暂时停用了rbl功能。但最近发现垃圾邮件量有所增加,和梭子鱼售后工程师联系后,告知是电信dns劫持的原因。更换为未被劫持的DNS后问题解决。由于一直对rbl的工作原理理解不是特别透彻,所以决心搞清楚一下到底是怎么影响的。
一、RBL的工作原理:据http://www.anti-spam.org.cn/references/index.php?Action=Show&ID=1的描述,rbl工作步骤为:
引用:如果要判断一个地址11.22.33.44是否被列入了黑名单,那么使用黑名单服务的软件会发出一个DNS查询到黑名单服务器(如cbl.anti-spam.org.cn),该查询是这样的:查找 44.33.22.11.cbl.anti-spam.org.cn 是否存在A记录?如果该地址被列入了黑名单,那么服务器会返回一个有效地址的答案。按照惯例,这个地址是[color=Red]127.0.0.0/8[/color]内的地址如127.0.0.2(之所以使用这个地址是因为127/8这个地址段被保留用于打环测试,除了127.0.0.1用于打环地址,其它的地址都可以被用来做这个使用,比如有时候还用127.0.0.3等。)。如果没有列入黑名单,那么查询会得到一个否定回答(NXDOMAIN)。
里面有个关键问题(红色字体):
1、rbl查询的结果是一定要在127.0.0.0/8内吗?如果返回来一个有效的internet地址会怎样(DNS劫持发生时)?
另外增加几个需要弄清楚的问题:
2、电信劫持dns的行为,在什么情况下才会发生?
3、劫持的目的IP是什么?IP的属主是谁?
二、资源需求
首先需要这样一些资源:
怀疑被劫持的DNS IP: 202.96.209.6
未被劫持的DNS IP: 202.96.199.133
在xbl.spamhaus.org或sbl.spamhaus.org的RBL内的IP: 61.83.209.40
不在xbl.spamhaus.org或sbl.spamhaus.org的RBL内的IP: 219.239.89.18,211.150.96.22
对正常域名的解析: www.163.com
三、开始对比验证:由于windows的nslookup使用不太方便,所以在linux主机上使用dig,host等命令来查询。
1、 在未被劫持的DNS上,对RBL内的IP做RBL查询,正常情况下应该返回127.0.0.0/8内的地址:
引用:
[root@mailtest2 tmp]# cat /etc/resolv.conf
nameserver 202.96.199.133
[root@mailtest2 tmp]# host 40.209.83.61.xbl.spamhaus.org
40.209.83.61.xbl.spamhaus.org [color=Red]has address 127.0.0.4[/color]
[root@mailtest2 tmp]# dig @202.96.199.133 40.209.83.61.xbl.spamhaus.org
………………………… #省略部分输出
;; QUESTION SECTION:
;40.209.83.61.xbl.spamhaus.org. IN A
;; ANSWER SECTION:
40.209.83.61.xbl.spamhaus.org. 1758 [color=Red]IN A 127.0.0.4[/color]
………………………… #省略部分输出
;; Query time: 10 msec
;; SERVER: 202.96.199.133#53(202.96.199.133)
;; WHEN: Wed Feb 28 11:42:34 2007
;; MSG SIZE rcvd: 466
返回值正常。
2、 在未被劫持的DNS上,对不在RBL内的IP做RBL查询,正常情况下应该返回NXDOMAIN;
引用:
[root@mailtest2 tmp]# cat /etc/resolv.conf
nameserver 202.96.199.133
[root@mailtest2 tmp]# host 18.89.239.219.xbl.spamhaus.org
Host 18.89.239.219.xbl.spamhaus.org not found: 3([color=Red]NXDOMAIN[/color])
[root@mailtest2 tmp]# dig @202.96.199.133 18.89.239.219.xbl.spamhaus.org
; <<>> DiG 9.2.4rc6 <<>> @202.96.199.133 18.89.239.219.xbl.spamhaus.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 48464
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;18.89.239.219.xbl.spamhaus.org. [color=Red]IN A[/color]
;; AUTHORITY SECTION:
xbl.spamhaus.org. 878 IN SOA need.to.know.only. hostmaster.spamhaus.org. 2007022814 3600 600 432000 900
;; Query time: 21 msec
;; SERVER: 202.96.199.133#53(202.96.199.133)
;; WHEN: Wed Feb 28 11:53:36 2007
;; MSG SIZE rcvd: 112
[root@mailtest2 tmp]# host 22.96.150.211.xbl.spamhaus.org
Host 22.96.150.211.xbl.spamhaus.org not found: 3([color=Red]NXDOMAIN[/color])
[root@mailtest2 tmp]# dig @202.96.199.133 22.96.150.211.xbl.spamhaus.org
; <<>> DiG 9.2.4rc6 <<>> @202.96.199.133 22.96.150.211.xbl.spamhaus.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 27365
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;22.96.150.211.xbl.spamhaus.org. [color=Red]IN A[/color]
;; AUTHORITY SECTION:
xbl.spamhaus.org. 878 IN SOA need.to.know.only. hostmaster.spamhaus.org. 2007022823 3600 600 432000 900
;; Query time: 39 msec
;; SERVER: 202.96.199.133#53(202.96.199.133)
;; WHEN: Wed Feb 28 14:13:06 2007
;; MSG SIZE rcvd: 112
返回正常。
3、 在未被劫持的DNS上,解析正常域名:
引用:
[root@mailtest2 tmp]# cat /etc/resolv.conf
nameserver 202.96.199.133
[root@mailtest2 tmp]# host www.163.com
www.163.com is an alias for www.cache.split.netease.com.
www.cache.split.netease.com [color=Red]has address 220.181.31.184[/color]
www.cache.split.netease.com [color=Red]has address 220.181.28.50[/color]
www.cache.split.netease.com has address 220.181.28.51
www.cache.split.netease.com has address 220.181.28.52
www.cache.split.netease.com has address 220.181.28.53
www.cache.split.netease.com has address 220.181.28.54
www.cache.split.netease.com has address 220.181.31.182
www.cache.split.netease.com has address 220.181.31.183
[root@mailtest2 tmp]# dig @202.96.199.133 www.163.com
………………………… #省略部分输出
;; QUESTION SECTION:
;www.163.com. IN A
;; ANSWER SECTION:
www.163.com. 11544 IN CNAME www.cache.split.netease.com.
www.cache.split.netease.com. 296 [color=Red]IN A 220.181.28.50[/color]
www.cache.split.netease.com. 296 [color=Red]IN A 220.181.28.51[/color]
www.cache.split.netease.com. 296 IN A 220.181.28.52
www.cache.split.netease.com. 296 IN A 220.181.28.53
www.cache.split.netease.com. 296 IN A 220.181.28.54
www.cache.split.netease.com. 296 IN A 220.181.31.182
www.cache.split.netease.com. 296 IN A 220.181.31.183
www.cache.split.netease.com. 296 IN A 220.181.31.184
………………………… #省略部分输出
;; Query time: 6 msec
;; SERVER: 202.96.199.133#53(202.96.199.133)
;; WHEN: Wed Feb 28 11:58:23 2007
;; MSG SIZE rcvd: 127
返回值正常。
4、 在怀疑被劫持的DNS上,对RBL内的IP做RBL查询,正常情况下应该返回127.0.0.0/8内的地址:
[root@mailtest2 tmp]# cat /etc/resolv.conf
nameserver 202.96.209.6
[root@mailtest2 tmp]# host 40.209.83.61.xbl.spamhaus.org
40.209.83.61.xbl.spamhaus.org [color=Red]has address 127.0.0.4[/color]
[root@mailtest2 tmp]# dig @202.96.209.6 40.209.83.61.xbl.spamhaus.org
………………………… #省略部分输出
;; QUESTION SECTION:
;40.209.83.61.xbl.spamhaus.org. IN A
;; ANSWER SECTION:
40.209.83.61.xbl.spamhaus.org. 839 [color=Red]IN A 127.0.0.4[/color]
………………………… #省略部分输出
;; Query time: 7 msec
;; SERVER: 202.96.209.6#53(202.96.209.6)
;; WHEN: Wed Feb 28 13:35:13 2007
;; MSG SIZE rcvd: 466
返回正常。
5、 在怀疑被劫持的DNS上,对[u]不在[/u]RBL内的IP做RBL查询,正常情况下应该返回NXDOMAIN;重点就在这个地方了
引用:
[root@mailtest2 tmp]# host 18.89.239.219.xbl.spamhaus.org
18.89.239.219.xbl.spamhaus.org [color=Red]has address [font=黑体]218.83.175.154[/font][/color]
[root@mailtest2 tmp]# dig @202.96.209.6 18.89.239.219.xbl.spamhaus.org
; <<>> DiG 9.2.4rc6 <<>> @202.96.209.6 18.89.239.219.xbl.spamhaus.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54440
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;18.89.239.219.xbl.spamhaus.org. IN A
;; ANSWER SECTION:
18.89.239.219.xbl.spamhaus.org. 1800 IN A [color=Red]218.83.175.154[/color]
;; Query time: 539 msec
;; SERVER: 202.96.209.6#53(202.96.209.6)
;; WHEN: Wed Feb 28 14:14:43 2007
;; MSG SIZE rcvd: 64
[root@mailtest2 tmp]# host 22.96.150.211.xbl.spamhaus.org
22.96.150.211.xbl.spamhaus.org [color=Red]has address 218.83.175.154[/color]
[root@mailtest2 tmp]# dig @202.96.209.6 22.96.150.211.xbl.spamhaus.org
; <<>> DiG 9.2.4rc6 <<>> @202.96.209.6 22.96.150.211.xbl.spamhaus.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21397
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;22.96.150.211.xbl.spamhaus.org. IN A
;; ANSWER SECTION:
22.96.150.211.xbl.spamhaus.org. 1800 [color=Red]IN A 218.83.175.154[/color]
;; Query time: 831 msec
;; SERVER: 202.96.209.6#53(202.96.209.6)
;; WHEN: Wed Feb 28 14:16:24 2007
;; MSG SIZE rcvd: 64
怪了,怎么解析出来一个正常IP了?把这个IP输入到IE地址栏,打开了这个网页:
[attach]183066[/attach]
而且再开一个窗口再打开一次,页面又会变化!
[attach]183067[/attach]
6、 在怀疑被劫持的DNS上解析一个正常的域名:
引用:
[root@mailtest2 tmp]# dig www.163.com
; <<>> DiG 9.2.4rc6 <<>> www.163.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28059
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.163.com. IN A
;; ANSWER SECTION:
www.163.com. 11544 IN CNAME www.cache.split.netease.com.
www.cache.split.netease.com. 296 [color=Red]IN A 220.181.28.50[/color]
www.cache.split.netease.com. 296 [color=Red]IN A 220.181.28.51[/color]
www.cache.split.netease.com. 296 IN A 220.181.28.52
www.cache.split.netease.com. 296 IN A 220.181.28.53
www.cache.split.netease.com. 296 IN A 220.181.28.54
www.cache.split.netease.com. 296 IN A 220.181.31.182
www.cache.split.netease.com. 296 IN A 220.181.31.183
www.cache.split.netease.com. 296 IN A 220.181.31.184
;; AUTHORITY SECTION:
split.netease.com. 1196 IN NS ns-split1.netease.com.
split.netease.com. 1196 IN NS ns-split2.netease.com.
;; ADDITIONAL SECTION:
ns-split1.netease.com. 6260 IN A 202.106.168.79
ns-split2.netease.com. 5748 IN A 220.181.28.4
;; Query time: 6 msec
;; SERVER: 202.96.209.6#53(202.96.209.6)
;; WHEN: Fri Mar 2 10:17:55 2007
;; MSG SIZE rcvd: 275
解析正常;难道这个DNS把所有解析不到的域名都劫持到218.83.175.154?下面验证一下:
7、 在怀疑被劫持的DNS上解析一个伪造的域名:
引用:
[root@mailtest2 tmp]# dig @202.96.209.6 false.163.com
; <<>> DiG 9.2.4rc6 <<>> @202.96.209.6 false.163.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37904
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;false.163.com. IN A
;; ANSWER SECTION:
false.163.com. 1800 [color=Red]IN A 218.83.175.154[/color]
;; Query time: 263 msec
;; SERVER: 202.96.209.6#53(202.96.209.6)
;; WHEN: Wed Feb 28 14:33:41 2007
;; MSG SIZE rcvd: 47
8、 218.83.175.154这个IP是谁的?
引用:
[root@mailtest2 tmp]# whois 218.83.175.154
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.78.0.0 - 218.83.255.255
netname: [color=Red]CHINANET-SH[/color]
descr: [color=Red]CHINANET Shanghai province network[/color]
descr: Data Communication Division
descr: [color=Red]China Telecom[/color]
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: [email]hm-changed@apnic.net[/email] 20060427
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email]anti-spam@ns.chinanet.cn.net[/email]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: lqing@[color=Red]chinatelecom.com.cn[/color] 20051212
mnt-by: MAINT-CHINANET
source: APNIC
person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: [email]ip-admin@mail.online.sh.cn[/email]
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: [email]ip-admin@mail.online.sh.cn[/email] 20010510
source: APNIC
IP属于中国电信,显然重定向出来的网页也属于中国电信…………
四、总结:
可以得出结论:可恶的电信在其部分DNS上设置了规则:所有解析不到的域名,都返回218.83.175.154这个IP
五、电信的DNS劫持行为,怎样影响到RBL的?
显而易见,所有解析不到的域名,都有返回值。虽然不是127.0.0.0/8网段,但是我的梭子鱼放火墙显然没有理会其中的内容,所以自然而然把所有的IP都判断为黑名单了(因为没有收到(NXDOMAIN))!
[ 本帖最后由 busyant 于 2007-3-2 10:41 编辑 ]
思一克 回复于:2007-03-02 11:03:26
反垃圾邮件系统也不是没有问题。
你用外部的RBL干什么? 那东西有许多不可靠的行为。比如将中国许多段列为黑名单。
如果要可靠,还是要自己判断为好
busyant 回复于:2007-03-02 11:41:02
使用rbl主要是可以在连接刚建立时就可以拒绝掉大量的垃圾邮件,我的梭子鱼每天光rbl拒绝的数量就超过5万,这样可以尽可能减小防火墙和服务器的压力,而且使用spamhaus相对公正的RBL服务商,问题还是比较少的。
像sorbs那个垃圾,我就不敢用。让那些胆大的用去吧。
思一克 回复于:2007-03-02 11:45:19
拒绝IP连接是对的。可以大大减少以后的系统压力。
但是
RBL最好是防垃圾系统自己产生的,而不依靠外部的。
busyant 回复于:2007-03-02 13:43:47
引用:防垃圾系统自己产生
这个不现实吧?靠一己之力能收集到所有的垃圾邮件源?就算把世界上所有的adsl pool都收集到了,恐怕也只占垃圾邮件源的1/N吧(至少N>=4)?
思兄有何好方法?
sosogh 回复于:2007-03-02 14:05:09
用rbl是有一些“误判”
不过最重要是反垃圾系统级别中
rbl之前可以设置whitelist,不然“误判”了就无药可救
思一克 回复于:2007-03-02 16:53:59
我的ST-MAPS系统就是自己产生的。产生不全没有关系。关键不能错。
在反垃圾邮件联盟上有一篇一个工程师的帖子告戒不要轻易使用外部RBL。否则会误伤的。
http://anti-spam.org.cn/forums/index.php?showtopic=3386
我是说你用的反垃圾邮件那东西不要依靠外部RBL。
还有,你的反垃圾的有效率大致是多少?
abel 回复于:2007-03-03 11:05:48
引用:原帖由 思一克 于 2007-3-2 16:53 发表
我的ST-MAPS系统就是自己产生的。产生不全没有关系。关键不能错。
錯是一定會有的 ! 重點是頻率,怎麼知道錯了及其後的處置!
自己產生 RBL 或是列表對一般人來說有一定的難度,而更何況是買人家產品的狀況
(每個產品特性不同)
既有實時黑名單就會有實時白名單,這個需求對於想自己做的朋友也要考慮進去
現在很多 antispam 講自己多強大,但不過是一些學名上的變化,看來看去最笨的就是
callback check sender 了
用什麼黑名單自己也要評量,我自用 10000 封正常信和 10000 封 spam 去比對
數百個 rbl,最後算出來 spamcop.net, t1.dnsbl.net.au,sbl-xbl.spamhaus.org 狀況最好
spamcop 有很高的準備度,命中率中上表現
t1 命中率上最高,但存在約 1/1000 之一的誤判,但這個誤判是 sender ip 過去曾有記錄發過 spam
sbl-xbl 則是高準確及低命中
最後,還得要了解這幾個表面的表現外,在 remove policy 及 submit policy 上的機制,
機制不明確的不用....
用 rbl 是要經過分析的,若說最好的,在我心中的看法 spamcop 是 number 1
我也用自己 rbl , 也分享自己的 rbl 給外部用,也提供自己 rbl check 被列進來的原因及表頭,
也提供移除機制,以期得到一個最好的結果,但至今我仍不能得到一個 不能错 的完全結果
busyant 回复于:2007-03-03 12:31:06
在企业环境,反垃圾邮件存在这么一个矛盾:
尽可能阻挡所有的垃圾邮件 VS 领导的电邮,宁可放过一千,不可错杀一个。
选择使用spamhaus.org也有两个前提:
一是无法自己产生RBL(能力不够or时间不够);
二是不可能像abel老大那样自己拿出“10000 封正常信和 10000 封 spam ”去对各个RBL做测试;
于是只能人云亦云,人家都说spamhau.org比较公正,全球有80%的用户都使用了它,那么就选择它了。
使用了这么长时间下来,感觉spamhau.org就是那种“宁可放过一千,不可错杀一个”,至少到现在为止,还没有哪个客户对我抱怨说他的邮件因为rbl的原因被我挡了下来。
当然spamhaus.org漏掉了的spam也不少,但因为还有后面的过滤机制,最后进入到用户邮箱的垃圾邮件粗略估计在1封/天左右,这个比例对用户来说是可以接受的!而之前的状况是大于12封/天。
要做到RBL判断不能错是不可能的,因为垃圾邮件属主也会发邮件给他的合作伙伴的。
所以选择一个中庸的解决方法,对系统管理员来说是最轻松的。太严格或太轻松,都是给自己找麻烦(用户/客户会向你抱怨的)。
但是从学问的角度来讲,怎样向“不能错”去尽可能的靠近,是系统管理员最终的追求。
另:
请教一下abel老大,你讲的命中率和准确度,是怎么来的?按我的理解,RBL应该仅有准确度一个衡量标准,错判或漏判都是不准确的表现。
[ 本帖最后由 busyant 于 2007-3-3 12:32 编辑 ]
思一克 回复于:2007-03-03 13:00:16
几个观点和考虑
1) RBL是为了最大限度减轻服务器的负荷,在SMTP连接建立后还没有传送邮件内容前拒绝掉该连接. 因此不能错. 错了就没有机会改正了. 但如果RBL不全,将坏邮件放过来了, 以后还有机会根据内容等判断阻挡.
2) 如果RBL放在内容传输完成后, 虽然可以,但减轻服务器的负荷的目的没有完全达到. 而且这时候,阻挡就可以不仅仅根据RBL了.因为内容已经得到,可以进行所有的判断.
3) 一个正式的反垃圾系统不可能仅仅依靠RBL IP工作. 或主要不是依靠RBL IP工作. 仅仅依靠RBL的反垃圾效果达不到多高,而且会误判. 所以可以说,仅仅依靠RBL工作的不是一个真正的完备的反垃圾邮件系统, 而只能说具备一些反垃圾功能.
4)一般的反垃圾系统RBL都是一个选项. 可以打开和关闭. 如果有一个自己人为比较可靠的外部RBL服务, 利用它也不是不可以.
5)自己产生自己的RBL, 可以避免外部原因造成的错误判断. 虽然不全(不可能特别全),但是反垃圾系统不是仅仅依靠RBL,所以不会影响反垃圾效果. 对于一个仅仅依靠或主要依靠RBL工作的反垃圾系统,用自己产生RBL的方法是不行的. 应该依靠外部RBL服务.
abel 回复于:2007-03-05 09:04:03
引用:请教一下abel老大,你讲的命中率和准确度,是怎么来的?按我的理解,RBL应该仅有准确度一个衡量标准,错判或漏判都是不准确的表现。
我將自己系統過去幾個月來的各10000 封正常信和 spam 信拿去比 (抽 10000 的樣本)
正常信不應該出現在 rbl 中,若出現了我會去看原因 (誤判),以了解實際狀況
spam 應該出現在 rbl 中,若沒出現或出現的太少都是不好的
兩個數據在互相對比,就很清楚要用什麼了
spamcop/spamhaus/我自己 的 rbl 我就直接 reject 了
t1 那一個我就做進去 spamassassin 中,因為它可能含了我的視為正常的信,用評分機制去做補救
vyouzhi 回复于:2007-03-05 10:36:20
我觉得我们有理由向电信提出抗议
abel 回复于:2007-03-05 11:11:48
引用:原帖由 vyouzhi 于 2007-3-5 10:36 发表
我觉得我们有理由向电信提出抗议
問題是以他的屬性,它跟本不會理你,在國外這個例子就像是 Verigisn (負責 .com 的運作)的 在他的 .com
zone file 中加入
* A IP
一樣,解不到的就到他的網站上去,最後在 Internet (等於是民間) 和 ICANN (主管機關) 的抗議下,
不到一星期就收場了, 網路的應用不是只有 web, 你寄信打錯一個字也可能寄到他們的 IP 去了
在中國大概就像蜀犬吠日吧
vyouzhi 回复于:2007-03-05 11:25:03
中国电信给我们太多的难题了
我管理的两台mail server出的问题差不多都是电信有关
如果电信做好一点
我的工作就大大的少多了
abel大哥
对面的台湾应该没这些问题吧
abel 回复于:2007-03-05 12:54:03
引用:原帖由 vyouzhi 于 2007-3-5 11:25 发表
中国电信给我们太多的难题了
我管理的两台mail server出的问题差不多都是电信有关
如果电信做好一点
我的工作就大大的少多了
abel大哥
对面的台湾应该没这些问题吧
沒有,很方便的~
ADSL 加 NAT 不會說你什麼...
反解只要到 ISP 網頁設一下就好了 ...
wildcard (*) 問題更是不可能
跨 ISP 間無障礙
不過濾 user 封包,更無其他攔截 (有但有的 ISP 會跑 WCCP)
busyant 回复于:2007-03-06 09:01:43
从一个国家的角度来讲,设个GFW无可厚非。
但其他几个,特别是电信网通互联问题,这个造成了多少重复建设的资金浪费啊!
ADSL加NAT,目前为止我还没有碰到,可能上海电信在这上面相对松一点。
反解,我的mail server(上海电信)花了¥500每年每IP。不过好像万网的貌似可以在web上设置反解。
反正除GFW外,其他几个,深恶痛绝深恶痛绝!
思一克 回复于:2007-03-06 10:10:40
TO busyant,
北京电信托管反解一分钱也不要。托管机器给IP,就可以做反解。网通的也是一样。
是不是上海收费多?比如一个80元的汽车铝牌子要2万多?
busyant 回复于:2007-03-06 20:50:21
hehe 一个沪打头的车牌不是2万多,有个人说了个形象的比喻:
如果你打算买一辆QQ,那么你需要准备两辆QQ的钱。
所以车牌的价格应该是在3w以上。
反解是不应该设置前提条件的,看看下面这个:
[QUOTE]
tracert www.yahoo.com
Tracing route to www.yahoo-ht2.akadns.net [209.131.36.158]
over a maximum of 30 hops:
1 * * * Request timed out.
2 9 ms 8 ms 8 ms 218.1.62.81
3 9 ms 8 ms 8 ms 218.1.9.17
4 8 ms 8 ms 8 ms 218.1.0.198
5 9 ms 8 ms 8 ms 202.101.63.206
6 40 ms 40 ms 40 ms 202.97.33.34
7 22 ms 21 ms 22 ms 202.97.33.190
8 433 ms 430 ms 431 ms if-2-3.bb3.LAA-LosAngeles.Teleglobe.net [209.58.85.33]
9 435 ms 429 ms 426 ms if-6-0.core2.LAA-LosAngeles.Teleglobe.net [209.58.85.14]
10 413 ms 409 ms 412 ms if-3-1.mcore4.LAA-LosAngeles.teleglobe.net [216.6.85.13]
11 542 ms 629 ms 620 ms if-5-0.mcore4.PDI-PaloAlto.teleglobe.net [216.6.86.9]
12 448 ms * * if-0-0.core3.PDI-PaloAlto.Teleglobe.net [207.45.196.77]
13 227 ms 226 ms 228 ms ix-5-0.core3.PDI-PaloAlto.Teleglobe.net [207.45.196.90]
14 220 ms 220 ms 217 ms g-0-0-0-p141.msr1.sp1.yahoo.com [216.115.107.51]
15 205 ms 203 ms 205 ms te-8-1.bas-a2.sp1.yahoo.com [209.131.32.19]
16 212 ms 214 ms 212 ms f1.www.vip.sp1.yahoo.com [209.131.36.158]
Trace complete.
[/QUOTE]
第七步是上海的路由器,到第八步,到了加拿大,人家路由器的反解都作了!
我们只是希望mail server做个反解,还要被收钱,而且价格还是一个地儿一个价!
什么事向前看齐没有错,但向钱看齐,就是xx养的了!
|
