A verdadeira questão é como eu permito o tráfego sftp do meu host?
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
Sim, é o mesmo que SSH. Se você quiser limitá-lo somente a determinados hosts em sua rede, ajuste-o de acordo. Eu tirei isso daqui:
IPTables: permita o SSH de saída . Isso também recomenda duas regras com estado para permitir a comunicação continuada quando a conexão for estabelecida:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
O DMZ do destino, o FQDN, o esquema de endereço IP e a rotação de IP são irrelevantes. Contanto que o FQDN que você recebeu seja válido e registrado, o DNS permitirá que o TCP / IP obtenha os pacotes para onde eles precisam ir.
Se o servidor DMZ mencionado for SUA DMZ e o servidor estiver atuando como seu firewall, você precisará aceitar pacotes do servidor de origem e encaminhá-los para a interface que hospeda o IP voltado para o público. Você também precisará abrir o tráfego de entrada, porta 22, endereço de destino do seu servidor interno. ACEITAR isso e encaminhar para a rede interna.
Observe que você não precisa saber o FQDN de destino para nada disso. Se eles tivessem um bom endereço IP estático, você poderia bloquear as regras para permitir apenas o sftp (e o SSH) de / para esses sites.