DNS en DMZ

[103]

Hace mucho tiempo que estoy diseñando una red con arquitectura DMZ, el esquema básico sería así:

Código: Seleccionar todo

LAN <---> firewall <---> router <---> wan
                            |
                           dmz

Este tipo de arquitectura requiere de tres interfaces de red, una para la LAN, otra para la WAN y una tercera para la DMZ. En la DMZ estarían todos los servidores de la red y el firewall se encargaría de manejar el tráfico que recibe de la red externa o WAN y redirigirlo a la DMZ.
Teniendo como ejemplo la siguiente configuración de la red:
LAN: 192.168.0.0/24
DMZ: 192.168.1.0/24
WAN:192.168.100.0/24

Necesitaría que los clientes en la LAN accedieran a través del firewall a los servicios alojados en la DMZ. Mi interrogante es: ¿Qué dirección ip establecer en los clientes de la LAN como servidor DNS si este está alojado en la DMZ?

Todos los clientes de la LAN tendrían como gateway o puerta de enlace 192.168.0.1 (ip del firewall)

[fVckingmania.hell]

Bueno creo que deberias ponerle la IP que va a tener en la DMZ, al fin y al cabo cuando la PC no encuentre esa IP en su tramo de red, le va a preguntar a su gateway (en este caso el Firewall) y este debera enrutar a su vez por su gateway (el router)y asi debe llegar.


Disculpame que te pregunte, pero esta estructura sugiere que tienes en el router un Firewall o al menos un filtrado de paquetes, para que pones otro Firewall entre el router y la LAN??

[frizquierdo10]

me imagino que la idea sea esta:

Código: Seleccionar todo

LAN <---> firewall <---> wan
                            |
                         dmz

una pc como firewall y enrutador de tu red, la palabra router, se refiere al dispositivo de red solamente nop ?!?!?!, no a otra pc.

[103]

La idea es esta:

Código: Seleccionar todo

LAN <---> firewall <---> wan
             |
            dmz

Parece que no es la mejor manera de ilustrar las cosas con CODE.
Es un solo firewall lo que quiero implementar, es una DMZ de tres interfaces. Un amigo sugirió con pFsense IPs virtuales, pero todavía tengo mis dudas.

[fVckingmania.hell]

ahhhhhhhhh, ahora si entendi bien como kieres la cosa, bueno te digo yo personalmente tengo implementada esa estructura ylo que tengo es un DNS interno para la LAN y uno en la DMZ para la resolucion de DNS externos. Cada cual lo implementa como mejor le parece pero bueno mis usuarios ninguno resuelve ningun DNS que no sea interno, para la navegacion, esta el proxy y para los correos el postfix, fuera de para eso mi usuarios no necesitan resolver ningun dominio, a lo mejor en tu caso es diferente, pero si es asi te aconsejaria que usaras un DNS interno (hijo) y uno en la DMZ (padre). Que el hijo haga fowards al padre y resuelves tu problema.
Sugerencia muy personal a la DMZ solo acceden los servidores, y bueno por supuesto tu, aunque creo que esa parte ya la debes conocer, recuerda que la DMZ se crea para que todo lo que venga desde la WAN nunca llegue a tu red sino a la DMZ.

[OT] Por cierto a mi tambien me hablaron muy bien de el pFsense, pero finalmente termine montandolo con iptables y eso esta de maravillas. De todas formas si logras implementarlo con pFsense, por favor sube un tutorial de como hacerlo a la wiki [/OT]

[103]

Sí, está claro todo lo que aclaras, pero no tengo pensado en implementar un servidor para la LAN, actualmente lo que tengo es un DNS con dos vistas, una para la LAN y otra para la WAN. Realmente mis clientes de la LAN tienen que resolver al menos seis nombres de dominios. Con iptables por el momento no lo puedo hacer porque no he conseguido una tercera tarjeta de red o mejor dicho, el servidor que tengo solamente tiene un pci de 32.
La DMZ se implementa para separar los servicios públicos de la red interna y no tenerlos directamente de cara a Internet, el firewall es el que se encarga de filtrar todo el tráfico que debe ser redirigido a la DMZ.
Espero entonces a una tercera tarjeta de red, o conseguir otro servidor que tenga soporte para la virtualización (uso proxmox) y entonces virtualizar el firewall solamente con dos tarjetas de red.

Saludos y gracias

[chuck]

Haz probado con interfaces virtuales , también puedes echarle un ojo a zentyal que es bastante intuitivo en eso de reglas de iptables e interfaces

Salu2s

[fVckingmania.hell]

Bueno una recomendacion muy personal, espera a que te llegue la segunda tarjeta de red y si tienes la posibilidad dedica una PC fisica solamente para el Firewall, para que todo este separado fisicamente, para que no corras ningun reisgo de nada virtual, en lo personal nunca me ha gustado separar es tipo de cosas que requieren la mayor seguridad posible, virtualmente, claro todo depende tambien de la disponibilidad de PCs que tengas.
Bueno momentaneamente te puedo sugerir que uses dos tarjetas de red y virtualizas las IPs, recomendacion una para la LAN y la otra a un Switch donde tengas el router y los serves de la DMZ. Asi puedes meterle las manos con iptables.

Espero resuelvas, cualquier duda con alguna de esas, preguntame que si tengo el conocimiento te lo paso

[elMor3no]

[OT] Por cierto a mi tambien me hablaron muy bien de el pFsense, pero finalmente termine montandolo con iptables y eso esta de maravillas. De todas formas si logras implementarlo con pFsense, por favor sube un tutorial de como hacerlo a la wiki [/OT]

http://gutl.jovenclub.cu/wiki/tutoriales/pfsense-bridge

[hugo]

Yo actualmente tengo montado algo parecido a una DMZ usando pfSense y NAT 1:1 (también probé con bridge y Port Forward), el acercamiento es ligeramente diferente al de iptables, por ejemplo el control de estados es mas complejo, pero en cambio otras cosas son mas simples, como por ejemplo que estableciendo reglas de entrada el hace automaticamente la contraparte.