> Andrea Bettoni wrote:
> > singola macchina di produzione in apparato di rete interrogabile
Zen:
> #define "macchina di produzione"
Presse, macchine di stampa, rullatrici...cioe' impianti industriali che
producono pezzi il cui stato (ok, non ok, allarmi e relative gestioni) e
l'avanzamento di quanto stanno facendo (pezzi prodotti) deve essere
interrogabile direttamente dal nostro Erp eliminado gli accrocchi che ci
sono in mezzo attualmente (che non ci piacciono).
> > Io pensavo di usare un bridge pinguino, banalmente:
> > 192.168.1.x <--> eth0 linux eth1 <--> 192.168.2.x
> allora forse pensavi ad un _router_ pinguino. :)
Beh, si, insomma, hai capito cosa volevo dire :-)
> > ed impostare solo per le macchine che da 192.168.1.x
> >devono parlare
> > con quelle su 192.168.2.x delle route statiche che passino
>> dal linuxino.
> buona idea. solo le macchine sulla .2 che devono parlare con la .1
> possono avere una rotta per la macchinina linux.
Forse siamo un po' paranoici, ma preferisco sapere quali macchine vanno
ad interagire con lo stabilimento perche' in questo modo circoscrivo
anche chi ci mette le manine accanto.
> > Ho visto un paio di link interessanti al riguardo, devo
> > passare a
> > qualche test.
> dovrebbe essere sufficiente configurare una macchina con due schede,
> abilitare l'ip forwarding e poi far puntare le macchine a lei come
> router per l'altra rete.
> Aggiungerei un paio di banali access list con iptables per
> essere sicuri
> che solo le macchine deputate a parlare con la .1 possano farlo, e non
> chiunque si imposti la rotta giusta. :)
Ecco forse io non sarei sceso fino alle acl con iptables, pero' gia' che
devo provare magari non guasta metterci un lucchetto in piu'.
> > Esperienze pratiche, consigli di sopravvivenza?
> minimizza il routing, ma senza frammentarlo.
> mi pare una buona idea non mettere una default sulle macchine di
> produzione, qualunque cosa esse siano, visto che non vuoi che
> un giorno
> arrivino su internet. :)
Meno che mai, grazie. Devo farmi fare una mini-analisi dai ragazzi di
stabilimento per capire se e' sufficente che le due reti si parlino solo
nella sede (potrei tirare qualche saracca se dovessi vederle anche da un
server che sta in altra sede distaccata).
> Ovviamente parto dal presupposto che le macchine "nuove" usino una
> infrastruttura di hub/switch completamente separata da quella
> esistente
> altrimenti diventa banale bypassare il routerino linux.
Questo temo non sia cosi' scontato, spero di si', anche se le dorsali in
fibra dello stabilimento arrivano in sala macchine dove e' attaccato
anche il resto. Devo fare qualche verifica (io sto a Reggio ma lo
stabilimento e' a Monfalcone).
> buon divertimento!
Grazie :-)
Andy
--
La mia Cartella di Posta in Arrivo è protetta con SPAMfighter
7892 messaggi contenenti spam sono stati bloccati con successo.
Scarica gratuitamente SPAMfighter!
<<attachment: winmail.dat>>
|