kdl's questions

我与一位同事就防止病毒/特洛伊木马从公司网络内访问 Internet 进行了对话。他说，具有异常端口的 http 流量代理服务器将是一个有效的障碍。在我看来，这些病毒现在已经足够聪明，可以通过使用浏览器设置或类似方式找到出路。现在我们使用 NAT，所以我们试图弄清楚是否值得实现代理。缺点是笔记本用户每次从公司网络以外的任何地方连接时都必须更改浏览器设置。

所以问题是：
1）与 NAT 相比，具有异常端口的代理服务器在禁止病毒/蠕虫访问互联网方面的效果
如何 2）如果我们确实实施代理解决方案，那么切换笔记本浏览器设置的便捷方法是什么用户？

谁能指导我（或指向一个很好的指南）如何在 Fedora 11 上为 MS Exchange 设置 Evolution 插件？我尝试从源代码安装，但几乎迷失在树林中。如果可能的话，最好有简单的指南（比如 yum install something）。如果我必须处理消息来源，我将不胜感激一个非常详细的虚拟分步指南。

谢谢！

这是我的设置：VMWare ESXi 4.0 上的两个 CentOS 5.2 机器。第一个盒子 ip 在 eth0 上是 192.168.22.52，在 eth1 上是 192.168.99.1。第二个盒子在 eth0 上运行 PostgreSQL 8.3，ip 为 192.168.99.2。这是box1的 iptables ，对于 box2 ，请参阅下面的评论。

我已经在 box1 上设置了端口 5432 转发，并且能够通过 pgAdminIII 或来自 Vista 笔记本的 psql 连接到 box2 上的 PostgreSQL（192.168.22.1，该子网中没有其他盒子，它有自己的交换机并且物理隔离）。我要连接的数据库有两个模式，一个是“较小的”（基本上只有一个表），另一个更大（大约 30 个表、100 个函数等）所以我能够使用较小的模式（浏览表等）但是当我尝试扩展更大的架构时 - pgAdminIII 冻结了 20 分钟左右。

PostgreSQL 日志显示有一个查询时间过长：

2009-06-04 21:04:46 EEST LOG:  00000: duration: 493578.874 ms  statement: 
SELECT pr.oid, pr.xmin, pr.*, format_type(TYP.oid, NULL) AS typname, 
typns.nspname AS typnsp, lanname, proargnames, proconfig,
        pg_get_userbyid(proowner) as funcowner, description
              FROM pg_proc pr
              JOIN pg_type typ ON typ.oid=prorettype
              JOIN pg_namespace typns ON typns.oid=typ.typnamespace
              JOIN pg_language lng ON lng.oid=prolang
              LEFT OUTER JOIN pg_description des ON des.objoid=pr.oid
             WHERE proisagg = FALSE AND pronamespace = 2200::oid
               AND typname <> 'trigger'
             ORDER BY proname

box1和box2都是开发box的克隆，原来的网络结构不同——box2不需要端口转发直接访问，访问数据库也没有问题。

现在，如果我通过 psql 在 box2 或“原始”机器上运行上述查询，或者从 box1 连接到 box2，它会立即执行。

在查询运行期间，box2 上的 tcpdump 会定期显示：

12:45:39.770609 IP 192.168.99.2.postgres > 192.168.22.1.49484: . 8760:10220(1460) ack 1 win 54
12:45:39.968496 IP 192.168.22.1.49484 > 192.168.99.2.postgres: . ack 10220 win 16425
12:45:39.968541 IP 192.168.99.2.postgres > 192.168.22.1.49484: . 10220:11680(1460) ack 1 win 54
12:45:39.968574 IP 192.168.99.2.postgres > 192.168.22.1.49484: . 11680:13140(1460) ack 1 win 54
12:45:39.969250 IP 192.168.22.1.49484 > 192.168.99.2.postgres: . ack 13140 win 16425
12:45:39.969275 IP 192.168.99.2.postgres > 192.168.22.1.49484: . 13140:17520(4380) ack 1 win 54
12:45:39.969408 IP 192.168.22.52 > 192.168.99.2: ICMP 192.168.22.1 unreachable - need to frag (mtu 1500), length 556

除此之外，我没有看到太多的流量。所有 ethN 接口上的 MTU 为 1500。 ping -l 1472 -f 192.168.99.1 从笔记本电脑通过没有问题。

我怀疑我遗漏了一些关于 iptables 或网络设置的信息，希望能得到您的建议。