Esta é realmente uma questão enganosamente complexa. :) Um dos meus favoritos.
A questão pode ser reexpressa como "deve ser permitida a uma rede menos confiável o acesso a uma rede mais confiável, dado que o único protocolo é o syslog"?
Você precisa avaliar o custo / benefício de colocar seu servidor syslog no lado de dentro. Pessoalmente, sou proponente de ter o servidor syslog residindo na rede interna - na verdade, é um ativo de alto valor.
A questão torna-se então a probabilidade de uma violação de ataque especificamente através do daemon syslog. Se você acha que seu servidor syslog pode ser violado, você deseja isolá-lo da sua rede administrativa.
Pessoalmente, acho que uma violação de um servidor syslog é muito baixa em probabilidade, mas há muitas maneiras de fazer isso com diferentes combinações de firewalls de hardware e software.
Por exemplo, você pode ter seu servidor syslog fisicamente localizado na DMZ. A partir daí, o iptables pode permitir o syslog de qualquer host tanto da DMZ quanto da sua rede administrativa e, em seguida, restringir o SSH e o acesso à web, se necessário, apenas do seu segmento de administração.
Ou você pode ter duas sub-redes DMZ separadas por meio do seu firewall de hardware. DMZ1 - > DMZ2 < - Admin onde o DMZ2 contém seu servidor syslog.