Cambio servidor publico a DMZ

Felipe Törnvall N. lpct en linux.pctools.cl
Mie Jul 4 01:37:35 CLT 2007 

On Tue, 03 Jul 2007 19:15:33 -0400
Juan Martínez <jeugenio en umcervantes.cl> wrote:

> jaimon escribió:
> > Holas:
> > 
> > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos)
> > conectado directamente a internet con ip valida, y antes que lo
> > violen pretendo ponerlo detras de un firewall, en la dmz, quedando
> > asi.
> > 
> > Internet------ip_valida---[firewall]---192.168.1.10 (dmz)
> >                               |
> >                               |
> >                               |
> >                        192.168.0.x/128 (LAN)
> >    
> > 
> > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso
> > obliga a que yo sepa bien lo que hago para hacerlo solo una vez.
> 
> Evidentemente..
> 
> > - La ip_valida esta registrada en la tabla de inversos de mi
> > proveedor (Entel)
> > - El dns primario lo manejo yo, con nic.cl como secundario.
> > - Quiero tambien habilitar openvpn y squid en el firewall
> > - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo
> > solo esa funcion.
> > 
> > Mi plan de trabajo es el siguiente:
> > 1.- Asignar la ip_valida del servidor al firewall
> 
> Normalmente la primera luego de el gateway de ese segmento.
> 
> > 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido
> > desde internet a fobos, que ahora estaria en el dmz con ip interna
> 
> Redirige todo el trafico de la IP publica a una IP privada del DMZ.
> No lo hagas por puertos (IMHO, no tiene sentido).
> 
> > 3.- Hacer lo mismo con los requerimientos internos.
> 
> No es necesario.
> 
> > 4.- habilitar vpn para entrada a lan
> 
> Abrir los puertos involucrados en el FW.
> 
> > 5.- Habilitar squid para que naveguen
> 
> Esto lo tienes que instalar en el FW.
> 
> > 6.- Descansar
> 
> Nunca ;-)
> 
> > Funcionalmente _hoy_ esta ok, pero mis dudas son:
> > 
> > - Es suficiente que al firewall le asigne la ip_valida del antiguo
> > servidor?
> 
> Cuantas IP's tienes?
> 
> > - Todo lo haria con iptables o necesito algo mas?
> 
> Nada mas.
> 
> > - En fobos (servidor en cuestion) hay que modificar algo al cambiar
> > su ip?
> 
> El archivo de configuracion correspondiente donde se define la ip de
> la interfaz que corresponde.
> 
> > - Entiendo que no deberia haber cambios respecto de la ip inversa
> > para el servidor de correo.... o no?
> 
> No cambia nada...
> 
> > - Algo mas que deba saber?
> 
> Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo 
> interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si
> tienes muchos servidores en el DMZ.
> 

y por que no mejor usas un bridge y te evitas problemas ?

Más información sobre la lista de distribución Linux