Cambio servidor publico a DMZ
Felipe Törnvall N.
lpct en linux.pctools.cl
Mie Jul 4 01:37:35 CLT 2007
On Tue, 03 Jul 2007 19:15:33 -0400
Juan Martínez <jeugenio en umcervantes.cl> wrote:
> jaimon escribió:
> > Holas:
> >
> > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos)
> > conectado directamente a internet con ip valida, y antes que lo
> > violen pretendo ponerlo detras de un firewall, en la dmz, quedando
> > asi.
> >
> > Internet------ip_valida---[firewall]---192.168.1.10 (dmz)
> > |
> > |
> > |
> > 192.168.0.x/128 (LAN)
> >
> >
> > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso
> > obliga a que yo sepa bien lo que hago para hacerlo solo una vez.
>
> Evidentemente..
>
> > - La ip_valida esta registrada en la tabla de inversos de mi
> > proveedor (Entel)
> > - El dns primario lo manejo yo, con nic.cl como secundario.
> > - Quiero tambien habilitar openvpn y squid en el firewall
> > - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo
> > solo esa funcion.
> >
> > Mi plan de trabajo es el siguiente:
> > 1.- Asignar la ip_valida del servidor al firewall
>
> Normalmente la primera luego de el gateway de ese segmento.
>
> > 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido
> > desde internet a fobos, que ahora estaria en el dmz con ip interna
>
> Redirige todo el trafico de la IP publica a una IP privada del DMZ.
> No lo hagas por puertos (IMHO, no tiene sentido).
>
> > 3.- Hacer lo mismo con los requerimientos internos.
>
> No es necesario.
>
> > 4.- habilitar vpn para entrada a lan
>
> Abrir los puertos involucrados en el FW.
>
> > 5.- Habilitar squid para que naveguen
>
> Esto lo tienes que instalar en el FW.
>
> > 6.- Descansar
>
> Nunca ;-)
>
> > Funcionalmente _hoy_ esta ok, pero mis dudas son:
> >
> > - Es suficiente que al firewall le asigne la ip_valida del antiguo
> > servidor?
>
> Cuantas IP's tienes?
>
> > - Todo lo haria con iptables o necesito algo mas?
>
> Nada mas.
>
> > - En fobos (servidor en cuestion) hay que modificar algo al cambiar
> > su ip?
>
> El archivo de configuracion correspondiente donde se define la ip de
> la interfaz que corresponde.
>
> > - Entiendo que no deberia haber cambios respecto de la ip inversa
> > para el servidor de correo.... o no?
>
> No cambia nada...
>
> > - Algo mas que deba saber?
>
> Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo
> interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si
> tienes muchos servidores en el DMZ.
>
y por que no mejor usas un bridge y te evitas problemas ?
Más información sobre la lista de distribución Linux