Juan Martínez <[EMAIL PROTECTED]> wrote: > jaimon escribió: > > Tengo un servidor web/correo/dns/ftp (fc6-al-dia, llamado fobos) conectado > > directamente a internet con ip valida, y antes que lo violen pretendo > > ponerlo detras de un firewall, en la dmz, quedando asi. > > > > Internet------ip_valida---[firewall]---192.168.1.10 (dmz) > > | > > | > > | > > 192.168.0.x/128 (LAN)
Todas esas IP son validas. Supongo te refieres a una IP publica... > > Pretendo hacerlo con el menor tiempo fuera de red posible, Eso obliga a que > > yo sepa bien lo que hago para hacerlo solo una vez. > > Evidentemente.. O derechamente instalar en ese esquema... claro que lo que ganas es que en vez de violar a fobos, primero violan tu fw, y estas en las mismas... O instalas y configuras el cortafuegos local en fobos, y le habilitas SELinux. Si instalas lo justo y necesario unicamente, y lo mantienes rigurosamente al dia, no veo la razon del fw (te ahorras un caharro, quiridi). > > - La ip_valida esta registrada en la tabla de inversos de mi proveedor > > (Entel) > > - El dns primario lo manejo yo, con nic.cl como secundario. > > - Quiero tambien habilitar openvpn y squid en el firewall > > - Ese firewall hoy no existe, por lo que estara vacio, cumpliendo solo esa > > funcion. > > > > Mi plan de trabajo es el siguiente: > > 1.- Asignar la ip_valida del servidor al firewall > > Normalmente la primera luego de el gateway de ese segmento. Da lo mismo. > > 2.- Redirigir los requerimientos de web, correo, dns y ftp recibido desde > > internet a fobos, que ahora estaria en el dmz con ip interna > Redirige todo el trafico de la IP publica a una IP privada del DMZ. No > lo hagas por puertos (IMHO, no tiene sentido). Que utilidad tiene el fw si no filtra nada? > > 3.- Hacer lo mismo con los requerimientos internos. > > No es necesario. Depende de lo que quiera dirigir donde... > > 4.- habilitar vpn para entrada a lan Puede usar a fobos como fw + punto de conexion a VPN. > Abrir los puertos involucrados en el FW. > > 5.- Habilitar squid para que naveguen > > Esto lo tienes que instalar en el FW. Fobos. > > 6.- Descansar > > Nunca ;-) > > > Funcionalmente _hoy_ esta ok, pero mis dudas son: > > > > - Es suficiente que al firewall le asigne la ip_valida del antiguo servidor? > Cuantas IP's tienes? Irrelevante. Seguramente una sola. > > - Todo lo haria con iptables o necesito algo mas? > > Nada mas. squid + lo que requiera VPN. > > - En fobos (servidor en cuestion) hay que modificar algo al cambiar su ip? > El archivo de configuracion correspondiente donde se define la ip de > la interfaz que corresponde. Y los archivos que indican que debe recibir correo para una direccion que /no/ es propia (/etc/mail/local-host-names en sendmail-8.x al menos), y algunas cosillas mas por alli cerca. > > - Entiendo que no deberia haber cambios respecto de la ip inversa para el > > servidor de correo.... o no? > > No cambia nada... > > > - Algo mas que deba saber? > > Si. Manejar bien el NAT que debes hacer para tu DMZ. Fijate que algo > interesante es hacer DNAT y SNAT por cada IP. Si, es tedioso si tienes > muchos servidores en el DMZ. Que diantres quieres hacer "por cada IP"? -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513