Cambio servidor publico a DMZ II

jaimon jaimon en terra.cl
Mie Jul 4 16:55:28 CLT 2007


> > > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos) 
> > > conectado directamente a internet con ip valida, y antes que lo 
> > > violen pretendo ponerlo detras de un firewall, en la dmz, 
> quedando asi.
> > >
> > > Internet------ip_valida---[firewall]---192.168.1.10 (dmz)
> > >                               |
> > >                               |
> > >                               |
> > >                        192.168.0.x/128 (LAN)
> 
> Todas esas IP son validas. Supongo te refieres a una IP publica...
> 

Eso quise decir.

> > > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso 
> > > obliga a que yo sepa bien lo que hago para hacerlo solo una vez.
> > 
> > Evidentemente..
> 
> O derechamente instalar en ese esquema... claro que lo que 
> ganas es que en vez de violar a fobos, primero violan tu fw, 
> y estas en las mismas...
> 
> O instalas y configuras el cortafuegos local en fobos, y le 
> habilitas SELinux. Si instalas lo justo y necesario 
> unicamente, y lo mantienes rigurosamente al dia, no veo la 
> razon del fw (te ahorras un caharro, quiridi).
> 

Actualmente fobos ya tiene su propio cortafuego, pero en registro tengo
muchisimos intentos de ingreso, por lo que prefiero que violen el fw.

Ademas de lo anterior, debo ahora monitorear el trafico de red (in/out) por
equipo al igual que el _pesimo_ enlace de entrada (entel microondas) para
poder fundamentar la queja por intermitencia del servicio.

Como los usuarios trafican a traves de un linksys no tengo opciones de
monitorear trafico. En cambio con el nuevo esquema puedo usar mrtg o algo
equivalente.

> > > Mi plan de trabajo es el siguiente:
> > > 1.- Asignar la ip_valida del servidor al firewall
> > 
> > Normalmente la primera luego de el gateway de ese segmento.
> 
> Da lo mismo.
> 


Esta claro.


> > > 2.- Redirigir los requerimientos de web, correo, dns y 
> ftp recibido 
> > > desde internet a fobos, que ahora estaria en el dmz con ip interna
> 
> > Redirige todo el trafico de la IP publica a una IP privada 
> del DMZ. No 
> > lo hagas por puertos (IMHO, no tiene sentido).
> 
> Que utilidad tiene el fw si no filtra nada?
> 

Por eso mismo quiero dejar pasar a fobos _solo_ las cosas en que da
servicio. Web, ftp,correo y dns


> > > 3.- Hacer lo mismo con los requerimientos internos.
> > 
> > No es necesario.
> 
> Depende de lo que quiera dirigir donde...


Ahí me perdi, ya que los usuarios usan:

- web : saldrian con squid desde el fw
- ftp : serian redirigidos a fobos desde fw
- dns : igual que lo anterior
- correo : igual que lo anterior
- vpn : solo 1 conexión hacia lan, que vendria desde el fw


> > > 4.- habilitar vpn para entrada a lan
> 
> Puede usar a fobos como fw + punto de conexion a VPN.
> 
> > Abrir los puertos involucrados en el FW.
> 
> > > 5.- Habilitar squid para que naveguen
> > 
> > Esto lo tienes que instalar en el FW.
> 
> Fobos.

Porque en fobos, si el estaria en dmz???

> > >
> > > - Es suficiente que al firewall le asigne la ip_valida 
> del antiguo servidor?
> 
> > Cuantas IP's tienes?
> 
> Irrelevante. Seguramente una sola.

8 ip publicas, ocupando solo 2.

La salida de los pc clientes la da un router linkys (1 ip) y la del servidor
tambien es directa (otra ip)


> 
> > > - Todo lo haria con iptables o necesito algo mas?
> > 
> > Nada mas.
> 
> squid + lo que requiera VPN.

Que significa "lo que requiera" ?


> 
> > > - En fobos (servidor en cuestion) hay que modificar algo 
> al cambiar su ip?
> 
> > El archivo de configuracion correspondiente donde se define 
> la ip de 
> > la interfaz que corresponde.
> 
> Y los archivos que indican que debe recibir correo para una 
> direccion que /no/ es propia (/etc/mail/local-host-names en 
> sendmail-8.x al menos), y algunas cosillas mas por alli cerca.

Ok.


> 
> > > - Entiendo que no deberia haber cambios respecto de la ip inversa 
> > > para el servidor de correo.... o no?
> > 
> > No cambia nada...
> > 
> > > - Algo mas que deba saber?
> > 
> > Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate 
> que algo 
> > interesante es hacer DNAT y SNAT por cada IP. Si, es 
> tedioso si tienes 
> > muchos servidores en el DMZ.
> 
> Que diantres quieres hacer "por cada IP"?

Pregunto lo mismo.


Gracias, Jaimon.




Más información sobre la lista de distribución Linux