Entradas
DMZ (red desmilitarizada) es un servidor que se coloca en medio del acceso externo hacia la red interna. Por ejemplo, suponte que tienes una red local de 5 PC,s y de esas 5 PC,s hay un PC que funciona como router de la red completa y dicho servidor router tiene una IP estatica publica con salida externa, donde usuarios de fuera pueden acceder a SSH, Apache u otro servicio dentro de tu red. Sin embargo, como solo dispones de 1 servidor router, solo se puede acceder a ese servidor mas no a las PC de tu red interna cierto?. Pues fijate que no, y que hay mas formas.
Continuamos con el ejemplo de las 5 PC,s de una red local interna de las cuales 1 sola permite el acceso externo y funciona como router. Perfectamente puedes instalar un servidor SSH en uno de los PC internos, un servidor web Apache en otro de los PC internos y redireccionar cualquier peticion externa que llegue a tu servidor router a uno de esos 2 servicios dentro de tu red interna, como se hace? implementando un DMZ en el servidor router.
Imagina que tienes un servidor con 3 tarjetas de red el cual usaras como servidor DMZ:
[a] eth0 con la IP privada interna 192.168.1.1
[b] eth1 con la IP publica externa 202.54.1.1
[c] eth2 con la IP privada interna 192.168.2.1conectada al servicio SSH y Apache de los PC ejemplos que expuse mas arriba.
REDIRECCIONANDO EL TRAFICO PUBLICO ENTRE LA DMZ
Para este paso, tienes que crear unas reglas en Iptables. Para crear una regla que indique que todas las peticiones entrantes al puerto 22 (Servidor SSH) sean redireccionadas a la direccion IP 192.168.2.2 (sustituye esa IP privada local, por la que sea que utilizes dentro de tu red con el servicio SSHD ejecutandose). Para crear la regla, debes estar logeado al sistema con el usuario root y en el servidor router (que es el que tiene posibilidad de recibir conecciones externas), asi que copia lo siguiente y guardalo en un script linux y ejecutala luego la sentencia:
# Reenvia trafico entre la LAN y el DMZ iptables -A FORWARD -i eth0 -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Redirecciona peticiones del puerto 22 al servidor 192.168.2.2 iptables -t nat -A PREROUTING -p tcp -i eth1 -d 202.54.1.1 --dport 22 -j DNAT --to-destination 192.168.2.2 # Redirecciona trafico al puerto 80 (Apache) a la IP 192.168.2.3 iptables -t nat -A PREROUTING -p tcp -i eth1 -d 202.54.1.1 --dport 80 -j DNAT --to-destination 192.168.2.3
Si te resulta un poco complicado eso de andar echando comandos en una terminal, pero aun asi quieres montarte un servidor DMZ, puedes en su lugar utilizar entornos webs y graficos:
No hay comentarios:
Publicar un comentario