Re: Iptables +DMZ+NAT
El 12/05/13, Santiago José López Borrazás <sjlopezb@gmail.com> escribió:
> El 12/05/13 11:02, Edgar Vargas escribió:
>> ?¿ no hay protección a los servidores? no sería mejor que esten en una
>> zona desmilitarizada? desde internet sin firewall los servers pueden
>> ser muy vulnerables
>
> Yo diría, que debería poner el firewall primero vía red externa y, luego
> otro firewall para los empleados. Así no habrá mucha cosa y, sólo tendrán
> acceso vía proxy. Es la mejor forma.
>
>> No exija manuales y tutoriales, lea la documentación de netfilter o
>> alguna en internet o USANDO LAS PAGINAS MAN
>
> El Netfilter es muy completo y bastante peliagudo de leer para personas que
> no se documentan. De hecho, para que se documenten, deberán hacer es,
> buscar
> material traducido para eso.
>
>> ?¿ nat se peude hacer con más interfaces, no se si usted habrá leído a
>> pello.info, ahi indican como hacer
>
> Sí, existe la posibilidad de tener tantos NAT's que sean posibles. No
> importa el cómo, ni tampoco importa del cómo, pero se pueden tener tantos
> NAT's que sean posibles.
>
>> #iptables -t nat -A POSTROUTING -o interfazexternadecaraainternet -j
>> MASQUERADE
>>
>> con ese comando recuerdo que cualquier interfaz que este en el
>> firewall ya sale o enmascara a a red local
>
> Siempre y cuando estén bajo la misma subred.
?¿ se refiere a segmento de red? que yo sepa pueden estar en segmentos
direfentes, por ejemplo una calse privada para una (a), otra para otra
clase (b digamos) y otra para (c) todas estan conectadas a tres
interfaces en un server que actua como firewall como digo estan en
segmentos de redes totalmente diferentes, y nat traduce la salida para
esas tres interfaces con el comando que dije, -o lainterfazexterna
internet---(eth1)server(eth2,eth3)---- red lan
(eth4)
|
|
dmz (servidores)
con un nat todos salen a internet y los de la lan ven todo contenido
del servidor, asi configuro yo algunas redes y todo ok.
>
>> Justo para esa estructura? que exigente jeej
>
> Yo que en su lugar, haría lo que decimos.
>
> --
> Saludos de Santiago José López Borrazás.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: [🔎] 518F5BBF.6050402@sjlopezb.yahoo.es">http://lists.debian.org/[🔎] 518F5BBF.6050402@sjlopezb.yahoo.es
>
>
Reply to: