El jue, 17-03-2011 a las 08:02 -0500, Michael González Medina escribió: > Hola lista: > En una de las dependencias de mi empresa hasta hace poco por falta de > presupuesto estuvo instalado en un mismo Servidor todos los > servicios(Correo, DNS, Samba, Cortafuegos, etc...) la estructura era > algo parecido a esto: > > (ISP)<------------------->Servidor(DNS+Samba+Correo+Cortafuegos)<-------------[switch]-------------->(Red > > Local/LAN) > > pero recientemente obtuvimos otro Servidor por lo que vamos a > restructurar la red Desmilitarizada(DMZ) para que quede mas o menos así: > > (ISP)<----------------->Servidor1(Cortafuegos, > DNS)<--------[switch]--------Servidor2(Correo,Samba,Proxy, > etc)<------[switch]----->(Red Local/LAN) > > por razones de seguridad es lógico mudar el servicio de correo desde el > Servidor1 hacia el Servidor2 puesto que este último no esta de cara a > Internet, la pregunta es la siguiente, según sus experiencias que es mejor: > > 1-Configurar un Mail Relay en Servidor1 para pasarle la mensajería a > Servidor2 para servir a los usuarios de la LAN. > > 2-Configurar directamente el Servidor2 para que reciba la mensajería de > Internet. > > 3-Cualquier otra sugerencia según la experiencia adquirida por ustedes > en sus respectivos entornos laborales. > > gracias desde ya, > saludos,
La configuración que a mí me gustaría (no necesariamente es la que esté usando, que no soy quien manda aquí)es dejar todos los servidores bien dentro de la DMZ con una dirección privada, y encaminar con iptables todas las solicitudes de servicios que vengan de afuera hacia las máquinas respectivas. Ejecución diaria de scripts de tiger, chkrootkit y "demases" (plural de "demás") en la máquina pasarela. Instalación de OSSEC teniendo esa máquina pasarela como cliente y como servidor una máquina de administrador dentro de la red. La navegación separada en dos acl, una para internacional y otra para nacional. La internacional no solo estaría regulada por la IP del equipo, sino además por contraseña. Dar direcciones IP fijas a las máquinas que pueden enviar correos, regulando con los mecanismos de Postifx cuáles son, y si es posible, las demás máquinas que solo trabajen con servicios internos y no tengan nada que hacer afuera ponerlas con IP fijas en otro tramo de red o servirles direcciones dinámicas si son demasiadas, igualmente en otro tramo de red. Y cualquier otra cosa que la paranoia nos dicte... ;-) -- MSc. Alberto García Fumero Usuario Linux 97 318 Las autoridades sanitarias advierten: El uso prolongado de Windows puede provocar dependencia ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
