Cambio servidor publico a DMZ

Juan Martínez jeugenio en umcervantes.cl
Mar Jul 3 19:15:33 CLT 2007 

jaimon escribió:
> Holas:
> 
> Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos) conectado
> directamente a internet con ip valida, y antes que lo violen pretendo
> ponerlo detras de un firewall, en la dmz, quedando asi.
> 
> Internet------ip_valida---[firewall]---192.168.1.10 (dmz)
>                               |
>                               |
>                               |
>                        192.168.0.x/128 (LAN)
>    
> 
> Pretendo hacerlo con el menor tiempo fuera de red posible, Eso obliga a que
> yo sepa bien lo que hago para hacerlo solo una vez.

Evidentemente..

> - La ip_valida esta registrada en la tabla de inversos de mi proveedor
> (Entel)
> - El dns primario lo manejo yo, con nic.cl como secundario.
> - Quiero tambien habilitar openvpn y squid en el firewall
> - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo solo esa
> funcion.
> 
> Mi plan de trabajo es el siguiente:
> 1.- Asignar la ip_valida del servidor al firewall

Normalmente la primera luego de el gateway de ese segmento.

> 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido desde
> internet a fobos, que ahora estaria en el dmz con ip interna

Redirige todo el trafico de la IP publica a una IP privada del DMZ. No 
lo hagas por puertos (IMHO, no tiene sentido).

> 3.- Hacer lo mismo con los requerimientos internos.

No es necesario.

> 4.- habilitar vpn para entrada a lan

Abrir los puertos involucrados en el FW.

> 5.- Habilitar squid para que naveguen

Esto lo tienes que instalar en el FW.

> 6.- Descansar

Nunca ;-)

> Funcionalmente _hoy_ esta ok, pero mis dudas son:
> 
> - Es suficiente que al firewall le asigne la ip_valida del antiguo servidor?

Cuantas IP's tienes?

> - Todo lo haria con iptables o necesito algo mas?

Nada mas.

> - En fobos (servidor en cuestion) hay que modificar algo al cambiar su ip?

El archivo de configuracion correspondiente donde se define la ip de la 
interfaz que corresponde.

> - Entiendo que no deberia haber cambios respecto de la ip inversa para el
> servidor de correo.... o no?

No cambia nada...

> - Algo mas que deba saber?

Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo 
interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si tienes 
muchos servidores en el DMZ.

-- 
Juan Martinez G.                   Mac Iver # 370
Departamento de Informatica        4997900 - 4997934
Universidad Miguel de Cervantes    Santiago - Chile
http://download.bblug.usla.org.ar/netiquette.png

Más información sobre la lista de distribución Linux