Mailinglist Archive: opensuse-es (1826 mails)

< Previous Next >
Configuración de zona "dmz"
  • From: "Camaleón" <noelamac@xxxxxxxxx>
  • Date: Tue, 7 Mar 2006 12:52:21 +0100
  • Message-id: <b23e69e70603070352j78346c7cm@xxxxxxxxxxxxxx>
Hola,

Tengo un servidor que en poco tiempo empezará a dar servicios externos
básicos (servidor web, correo, ftp...). El servidor tiene dos tarjetas
de red: una conectada a un router (eth0) con direccionamiento del tipo
10.x.x.x y otra que actualmente está conectada a un switch (eth1) con
direccionamiento 172.x.x.x. Son dos redes diferentes y no se ven
(configuradas como vlan).

La intención es que si el servidor que va a estar expuesto a Internet
se ve comprometido, que no suceda lo mismo con la red local
(172.0.0.x), es decir, que sólo pueda acceder a los datos del servidor
en sí, pero no al resto de los equipos de la red interna.

Se me ocurren dos opciones:

1) Que las dos tarjetas de red (eth0 y eth1) se configuren dentro de
la misma red (10.x.x.x) y que se utilicen como "failover" (si falla
una de ellas que siga la otra) y configurar ssh de forma remota para
poder acceder desde un equipo a través de Internet (es decir, abrir el
puerto 22 del router y direccionarlo al servidor).

De esta forma me aseguro que sólo el servidor de la red 10.x.x.x se
vea comprometido en caso de asalto, pero expongo demasiado al servidor
al abrir el servicio ssh de forma remota...

2) Que la tarjeta conectada a la red local (eth1) tenga activado el
cortafuegos para permitir sólo los accesos desde la red interna y
rechazar todas las conexiones que le puedan venir desde fuera.

De esta forma el servicio ssh lo puedo utilizar en local sin abrir los
puertos del router, aunque no estoy del todo segura de que en el caso
de verse comprometido el acceso al servidor por medio de una intrusión
a través de la otra tarjeta de red (eth0) se podría tener acceso a la
red local (eth1).

Sugerencias, opiniones, modificaciones, alternativas... se agradecen.

:-D

Saludos,

--
Camaleón
< Previous Next >
Follow Ups