El Sábado, 3 de Enero de 2009, troxlinux escribió:
he aquí mis inconvenientes:
1 - no manejo mi zona DNS la maneja mi proveedor , y en el esquema que planeo quiero solo dejar la web, el correo y la database en la DMZ , pero quiero tener otro servidor web en el firewall para otras aplicaciones como cacti , mailgraph , snort+base , que puedan ser accesibles desde la red interna y desde afuera , para esto planeo hacer unas zonas con el dns internos nivel de la lan , el detalle aquí es que desde el firewall todo lo que venga desde afuera a la web principal vaya a la DMZ y desde la red interna igual , pero pero si quiero entrar al cacti y otras chuletas que estan el frewall , estaba pensando en hacer con el apache de la DMZ un proxy pass creo que me sirve para esto , si no corrijanme?
* Es mas logico que hagas el proxy-pass en el servidor del cortafuegos que en el de la MZ, ya que lo que estas montando es una MZ y no una DMZ, tendrias que utilizar el flag connmark de iptables o la peticion quedaria muerta en el segundo enmascaramiento, ademas al parecer ya tienes un proxy (http ??) en el cortafuegos. * Aun es mas logico, adoptando tus gustos, que pongas a escuchar la web del cortafuegos (cacti, etc ) en un puerto diferente del standard y "pases" del proxy pass. * Incluso es mas logico, que la representacion de cacti, snort, etc, sea en el servidor web que estara en la Zona Militarizada.
2 - mi proveedor me tiene apuntado en su dns como mihost.superdominio.com con la ip publica 1.1.1.1 , pienso que en mi dmz se cambia puesto que el ip publico lo va a manejar el firewall, en la dmz lo dejare como mx.superdominio.com , que opinan ?
* Como llames a la maquina de la MZ es indiferente (no la resuelve tu isp, si no la redireccion de puerto en el cortafuegos), en el dns que tu montes los registros de tipo A para las webs, correo, etc, deberan estar apuntados, en resumen para cualquier cosa que se deba de resolver por FQDN sera el servidor dns interno el que mande ya que a el sera al que pregunte la maquina de la MZ.
el firewall , dejo el proxy , dns interno y otro web
* Entiendo por proxy algo como Delegate o Squid, tendras que tener en cuenta la configuracion apropiada para tener un proxy aguas arriba del servidor web.