小编nat*_*ado的帖子

我正在考虑在 Cisco ASA 后面设置一个 DMZ，该 DMZ 将包含大量 HTTP 前端负载平衡器和 SSL 卸载服务 - 超过 100 个 IP，集中在少数主机上。

过去，我将所有主机都保留在 RFC1918 私有 IP 上，并为我通常在 DMZ 中公开的每个服务添加了静态映射（IP-by-IP）。这变得很烦人，因为我们已经开始以足够快的速度添加额外的 DMZ IP，以至于单独设置每个 IP 变得很烦人。我想对其进行更改，以便将整个 DMZ 子网设置为允许来自外部的 HTTP 和 HTTPS --> dmz，以便负载均衡器可以根据需要获取新 IP，而无需每次都更新 ASA 配置。

我现在想知道的是，将 DMZ 放在 RFC1918 子网上并在整个子网中使用静态 NAT 是否有意义，或者我是否应该让 DMZ 直接分配外部 IP，并仅依赖于访问列表和身份 NAT/NAT 豁免。

一些粗略的 ASCII 艺术作品：

使用直接外部 IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
                  +-----> DMZ (1.2.3.0/24)

使用 NATed IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
     (1.2.3.0/24) +-----> DMZ (10.99.0.0/24) …

在美国，大多数消费类电源板似乎使用 NEMA 5-20R 连接器 - 它们看起来像这样。然而，在机架式/数据中心领域，我看到很多配电单元接受 IEC C14 连接，它们看起来像这样。

我知道电气上没有显着差异；我想知道为什么我应该更喜欢一个而不是另一个。根据我有限的经验，我发现将 C14 连接连接到 PDU 会导致连接更松散，如果没有用拉链或魔术贴固定它们，我更有可能脱落。

我有一个在 OSX Server 机器上运行的 OpenDirectory 服务器，我想通过拥有一个从服务器来提高服务的可靠性。问题是，我只有 1 个 OSX 服务器，但我有很多可用的 Linux 服务器。我对 Apple 与 OpenDirectory 集成的工具感到满意，但鉴于 Apple 最近停止使用 XServe，我对继续使用 Apple 硬件并不特别感兴趣。

我记得听说 OpenDirectory（现在很遥远）基于 OpenLDAP 代码库；有什么方法可以从 OpenDirectory 复制到 OpenLDAP 而不必购买另一台 OSX 服务器？

我工作的公司即将搬迁办公室，新空间现在完全没有电力或以太网电缆。总办公空间的大约 1/2 是一个 30'x30' 的开放式房间，工程团队（约 10 人）将坐在那里。我们之前的布局是 4 张桌子相对的豆荚；我们可能会在这个设置中做类似的事情（我还没有确切的测量值，不知道它是如何适合的。）

指定剩余办公空间的功率和跌落很容易 - 在墙上选择一个位置。但我不确定大型开放式房间的最佳策略是什么。带电源和以太网的略微凸起的电缆管道？嵌入式地板千斤顶？电线杆从天花板上掉下来？此外，将所有网络连接到中央配线柜，还是简单地为整个房间运行 1-2 个连接并为该房间中的所有系统使用一个好的交换机是否有意义？

今天，我的 PostgreSQL 在我的 Windows 机器上不再启动......

我尝试在Windows服务中启动该服务，但出现以下错误：

Windows could not start the PostgreSQL Database Server 8.3 service on Local Computer.

Error 1053: The service did not respond to the start or control request in a timely fashion.

然后我到命令行手动启动C:/Program Files (x86)/PostgreSQL/8.3/bin/psql.exe，然后得到这个错误：

psql: Could not connect to server: Connection refused (0x0000274D/10061)
Is the server running on host "???" and accepting TCP/IP connections on port 5432?

编辑：我在日志中发现了这一点：

2011-04-22 13:13:16 CEST LOG:  could not receive data from client: No connection could be made because the …

大多数低成本的 SSL 证书提供商实际上只是验证您是否控制了一个域名。对于这些类型的证书，与其支付第三方费用来验证我是否控制了域的 DNS 记录，为什么不在 DNS 中“签署”证书呢？如果我在服务器上生成一个密钥对并在 DNS 中为主机名发布相同的公钥，我认为这将是等效的安全级别。

我看到设计有两个问题，但似乎都很小：

1. EA 证书和验证个人/公司详细信息的更高级别的证书无法通过这种方式完成。希望付费以获得浏览器中的绿色条的组织可以继续这样做。
2. 带有流氓 DNS 服务器的恶意网络可能会将您重定向到不同的主机名和不同的受信任 SSL 证书。也许 DNSSEC 可以解决这个拒绝问题？

我不知道有任何浏览器实现了这样的东西，但似乎这是一种至少获得受信任的加密连接而不显示可怕的“不受信任的证书”对话框的好方法。除了我上面提到的问题和现有的商业认证机构反对这个想法之外，还有其他原因这样做会是一个坏主意吗？