On Tue, 03 Jul 2007 19:15:33 -0400 Juan Martínez <[EMAIL PROTECTED]> wrote:
> jaimon escribió: > > Holas: > > > > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos) > > conectado directamente a internet con ip valida, y antes que lo > > violen pretendo ponerlo detras de un firewall, en la dmz, quedando > > asi. > > > > Internet------ip_valida---[firewall]---192.168.1.10 (dmz) > > | > > | > > | > > 192.168.0.x/128 (LAN) > > > > > > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso > > obliga a que yo sepa bien lo que hago para hacerlo solo una vez. > > Evidentemente.. > > > - La ip_valida esta registrada en la tabla de inversos de mi > > proveedor (Entel) > > - El dns primario lo manejo yo, con nic.cl como secundario. > > - Quiero tambien habilitar openvpn y squid en el firewall > > - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo > > solo esa funcion. > > > > Mi plan de trabajo es el siguiente: > > 1.- Asignar la ip_valida del servidor al firewall > > Normalmente la primera luego de el gateway de ese segmento. > > > 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido > > desde internet a fobos, que ahora estaria en el dmz con ip interna > > Redirige todo el trafico de la IP publica a una IP privada del DMZ. > No lo hagas por puertos (IMHO, no tiene sentido). > > > 3.- Hacer lo mismo con los requerimientos internos. > > No es necesario. > > > 4.- habilitar vpn para entrada a lan > > Abrir los puertos involucrados en el FW. > > > 5.- Habilitar squid para que naveguen > > Esto lo tienes que instalar en el FW. > > > 6.- Descansar > > Nunca ;-) > > > Funcionalmente _hoy_ esta ok, pero mis dudas son: > > > > - Es suficiente que al firewall le asigne la ip_valida del antiguo > > servidor? > > Cuantas IP's tienes? > > > - Todo lo haria con iptables o necesito algo mas? > > Nada mas. > > > - En fobos (servidor en cuestion) hay que modificar algo al cambiar > > su ip? > > El archivo de configuracion correspondiente donde se define la ip de > la interfaz que corresponde. > > > - Entiendo que no deberia haber cambios respecto de la ip inversa > > para el servidor de correo.... o no? > > No cambia nada... > > > - Algo mas que deba saber? > > Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo > interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si > tienes muchos servidores en el DMZ. > y por que no mejor usas un bridge y te evitas problemas ?
