Cambio servidor publico a DMZ

[Horst H. von Brand]

Juan Martínez <jeugenio en umcervantes.cl> wrote:
> jaimon escribió:
> > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos) conectado
> > directamente a internet con ip valida, y antes que lo violen pretendo
> > ponerlo detras de un firewall, en la dmz, quedando asi.
> >
> > Internet------ip_valida---[firewall]---192.168.1.10 (dmz)
> >                               |
> >                               |
> >                               |
> >                        192.168.0.x/128 (LAN)

Todas esas IP son validas. Supongo te refieres a una IP publica...

> > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso obliga a que
> > yo sepa bien lo que hago para hacerlo solo una vez.
> 
> Evidentemente..

O derechamente instalar en ese esquema... claro que lo que ganas es que
en vez de violar a fobos, primero violan tu fw, y estas en las mismas...

O instalas y configuras el cortafuegos local en fobos, y le habilitas
SELinux. Si instalas lo justo y necesario unicamente, y lo mantienes
rigurosamente al dia, no veo la razon del fw (te ahorras un caharro,
quiridi).

> > - La ip_valida esta registrada en la tabla de inversos de mi proveedor
> > (Entel)
> > - El dns primario lo manejo yo, con nic.cl como secundario.
> > - Quiero tambien habilitar openvpn y squid en el firewall
> > - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo solo esa
> > funcion.
> >
> > Mi plan de trabajo es el siguiente:
> > 1.- Asignar la ip_valida del servidor al firewall
> 
> Normalmente la primera luego de el gateway de ese segmento.

Da lo mismo.

> > 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido desde
> > internet a fobos, que ahora estaria en el dmz con ip interna

> Redirige todo el trafico de la IP publica a una IP privada del DMZ. No
> lo hagas por puertos (IMHO, no tiene sentido).

Que utilidad tiene el fw si no filtra nada?

> > 3.- Hacer lo mismo con los requerimientos internos.
> 
> No es necesario.

Depende de lo que quiera dirigir donde...

> > 4.- habilitar vpn para entrada a lan

Puede usar a fobos como fw + punto de conexion a VPN.

> Abrir los puertos involucrados en el FW.

> > 5.- Habilitar squid para que naveguen
> 
> Esto lo tienes que instalar en el FW.

Fobos.

> > 6.- Descansar
> 
> Nunca ;-)
> 
> > Funcionalmente _hoy_ esta ok, pero mis dudas son:
> >
> > - Es suficiente que al firewall le asigne la ip_valida del antiguo servidor?

> Cuantas IP's tienes?

Irrelevante. Seguramente una sola.

> > - Todo lo haria con iptables o necesito algo mas?
> 
> Nada mas.

squid + lo que requiera VPN.

> > - En fobos (servidor en cuestion) hay que modificar algo al cambiar su ip?

> El archivo de configuracion correspondiente donde se define la ip de
> la interfaz que corresponde.

Y los archivos que indican que debe recibir correo para una direccion
que /no/ es propia (/etc/mail/local-host-names en sendmail-8.x al
menos), y algunas cosillas mas por alli cerca.

> > - Entiendo que no deberia haber cambios respecto de la ip inversa para el
> > servidor de correo.... o no?
> 
> No cambia nada...
> 
> > - Algo mas que deba saber?
> 
> Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo
> interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si tienes
> muchos servidores en el DMZ.

Que diantres quieres hacer "por cada IP"?
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513