El 2005-03-19 a las 20:38 +0100, Joaquin Felipe escribió:
Si no he entendido mal la sintaxis, sería algo como:
FW_FORWARD_MASQ="0/0,192.168.1.1,tcp,81,80,192.168.2.80"
Supongo que si, por lo poco que entiendo, incluso en realidad podría restringirlo a la ip exterior w.x.y.z que realmente me interesa que acceda al PLC: FW_FORWARD_MASQ="w.x.y.z,192.168.1.1,tcp,81,80,192.168.2.80"
Eso es mucho más seguro.
Ahora, que SuSE recomienda no usarlo:
# Please note that this should *not* be used for security reasons! You are # opening a hole to your precious internal network. If e.g. the webserver there # is compromised - your full internal network is compromised!!
No entiendo por qué habría un problema de seguridad. ¿No se aplican las reglas del cortafuegos a los paquetes que llegan al puerto 81 y se redirigen al 80 del PLC?
Si. Pero si la máquina a la que se redirige el trafico tuviera un agujero de seguridad en el servicio que está abierto al exterior, comprometería a la toda la red interna. Es decir, si el PLC tuviera un agujero de seguridad en su servidor http que permitiera acceder y saltar, toda tu intranet estaría coprometida. La idea, supongo, es que las máquinas que ofrezcan servicios al exterior no deben tener acceso al interior. Pero yo no soy un experto en eso, simplemente te copié el párrafo.
Sería mejor que ese PLC estuviera en la DMZ. En este esquema no sé qué sería mi DMZ, ya que sólo tengo el Cortafuegos-servidor y el PLC. Puede haber otros ordenadores en la red interna.
No tienes. La DMZ es una tercera red en la que se ponen los servidores externos, aislada de la intranet. El cortafuegos tendría tres interfaces.
Ahora, lo que yo no se es si se podría, con el apache del cortafuegos, replicar la pagina web interna, como si fuera un proxy. Si, como un proxy puesto al revés.
En el peor de los casos, un cron corriendo wget valdría.
El problema que veo en este caso es la fata de respuesta.
Claro. Por eso dije lo del proxy al revés. Pero no tengo ni idea de como hacerlo.
Si ejecuto un cron cada minuto y el PLC controla un proceso que varíe lentamente, sería aceptable, pero si el proceso varía rápidamente, no sería admisible, y eso ¡ejecutando el cron cada minuto!, con una carga al sistema importante. Si se puede, me gusta más el primer método, redirigir el tráfico desde el cortafuegos.
Si que se puede, claro. -- Saludos Carlos Robinson