firewall fra router e server con ip pubblico

[Caleb]

dunque c'e' un server raggiungibile con ip pubblico w.x.y.z configurato su una delle due schede di rete

su tale ip pubblico vi e' registrato un dominio (e' un server di posta che fa anche da proxy), se metto un firewall fra router e server come vanno impostati gli ip delle varie interfacce? :master:

situazione attuale:

router
|
|
server eth0 con ip w.x.y.z
server eth1 192.168.0.*
|
|
switch
|
|
lan interna

[Caleb]

up

[seclimar]

il firewall non ti conviene metterlo fra router e server
ma fra server e LAN !
questo perche' il server deve essere visibile a internet... (no... mis embra di avere capito questo)

mentr cio' che devi proteggere e' la lan interna

[Caleb]

e il server come lo proteggo? VVoVe:

[seclimar]

se il server deve essere visibile a internet allora sta in una DMZ
ovvero "area demilitarizzata" .. ovvero area NON protetta

verrà quindi protetto dagli upgrade software e da password serie...

se invece il server non deve essere visibile da internet ...allora lo puoi mettere dietro al firewall

dovresti dirci cosa vuoi farci con il server in modo che ti suggeriamo la strada migliore

[Caleb]

è un server di posta

[seclimar]

io farei cosi':

ip privato a server...e anche al resto della rete...

il router con il nat abilitato che apre SOLO le porte della posta da internet al server

il firewall tra il server e la rete... in modo tale che dal server non si possa andare verso la rete e vice versa

in questo modo hai

INTERNET
ROUTER (con nat abilitato)
DMZ con SERVER e ip privati
FIREWALL
RETE con ip privati (protetta)

[Caleb]

però ormai il dominio è registrato sull'ip pubblico del server... per farlo puntare all'ip del router avrei un bel po' di disservizio in attesa della propagazione dei dns

[seclimar]

semplicemente assegna al router l'ip pubblico usato dal server

e al server metti un ip privato

cosi' non devi cambiare il dns ecc...

apri solo e redireziona la porta che ti serve
cosi' il server e' gia' protetto e non ha bisogno di un firewall

se qualcuno dovesse pero' sfruttare la porta che hai aperto.. (il firewall qua non potrebbe fare nulla) per conquistare il pc... allora tra il server e la rete sei protetto con il router

dmz

[Caleb]

ah ok, quindi l'attuale ip pubblico del server non mi servirà più... capito