Re: Consulta de Infraestructura

[Iñigo Tejedor Arrondo <inigo.listas@gmail.com>]

El lun, 10-12-2007 a las 01:25 -0300, ciracusa escribió:

[...]

> 1) El modem/router lo dejarías haciendo NAT o lo pasarías a Bridge para 
> que todo dependa del Firewall en Linux?

Normalmente se pone en bridge o monopuesto. El rendimiento (salvo que
pongas un 386) suele ser mejor así. Ahora, tu verás que quieres tener
expuesto. Es menos habitual un bug en un router DSL que en un linux.
También suele tener menos mecanismos de defensa un router DSL que un
linux.

> 2) Un posible esquema sería:
> 
> Internet <-> modem/router <-> FIREWALL - ETH0 -> DMZ
>                                                                          
> - ETH1 ->  Red Local
> 
> Y luego en el firewall aplicar las políticas que correspondan?
> 
> Que opinas?

Que una DMZ sería tres interfaces/direccionamientos mínimo:

1) Salida - Entrada (internet)
2) DMZ (servidores con puertos a internet)
3) Red local (puestos, otros servidores)

Si sólo tienes dos interfaces físicas, se suele dejar una física para
internet, y la otra la divides en dos virtuales, una para dmz y otra
para red local.

Otras veces se configuran las dos interfaces con channel bonding y se
crean las subredes mediante bond0.1, bond0.2, bond0.3, etc y se conecta
todo a un switch gestionable y se asignan vlans a los puertos del
switch.

Impementación típica de DMZ:

Internet -<->- DSL -<->- eth0 -<->- firewall -<->- eth1.0 dmz
                                         \
                                          \
                                           \ -<->- eth1.1 red local


Saludos