Conexão com a Internet no servidor dentro de uma DMZ

Navegue suas respostas
1

meu cenário é o seguinte:

Eu tenho um servidor com um site no Drupal que está dentro do DMZ. Como o servidor está localizado nessa rede, ele não tem acesso à Internet, mas eu preciso dele para tarefas de atualização e manutenção. Neste servidor eu tenho duas interfaces de rede > 

eth0> (for internet access)
address: 172.20.62.22
netmask: 255.255.0.0
gateway: 172.20.127.1

eth1> (for DMZ)
address: 10.0.1.41
netmask: 255.255.255.0
gateway: 10.0.1.1

Até agora, o que tentei é criar duas tabelas de roteamento (uma para cada interface) e definir o gateway padrão para a interface com conexão à Internet. Meu arquivo de interfaces contém o seguinte: 

auto eth0
  iface eth0 inet static
  address 172.20.62.22
  netmask 255.255.0.0
  gateway 172.20.127.1
  post-up ip route add 172.20.0.0/16 dev eth0 table eth0table
  post-up ip route add default via 172.20.127.1 table eth0table
  post-up ip rule add from 172.20.62.22/32 table eth0table priority 100
  post-up ip route flush cache
  pre-down ip rule del from 172.20.62.22/32 table eth0table priority 100
  pre-down ip route flush table eth0table
  pre-down ip route flush cache

auto eth1
iface eth1 inet static
  address 10.0.1.41
  netmask 255.255.255.0
  post-up ip route add 10.0.1.0/24 dev eth0 table eth1table
  post-up ip route add default via 10.0.1.1 table eth1table
  post-up ip rule add from 10.0.1.41/32 table eth1table priority 110
  post-up ip route flush cache
  pre-down ip rule del from 10.0.1.41/32 table eth1table priority 110
  pre-down ip route flush table eth1table
  pre-down ip route flush cache

Até agora, posso estabelecer uma conexão ssh com os dois IPs (o que me faz pensar que estou no caminho certo), mas dentro da máquina, eu tenho acesso à Internet, mas não consigo pingar as outras máquinas no cluster que estão na mesma rede (10.0.1.0/24). Acho que estou perto, mas sei que falta alguma coisa na configuração de roteamento. Minhas maiores preocupações são:

  1. Eu deveria ter a interface para acessar a Internet na eth0 em vez de na eth1 e deixar a interface da DMZ ser a primeira placa?

  2. Devo estabelecer uma tabela de roteamento por interface ou, com apenas uma, o cenário pode ser realizado?

  3. O acesso à internet nas máquinas dentro da DMZ é temporário (devido a políticas de segurança na organização) e uma vez que a manutenção é feita, o acesso à internet deve ser removido. Isso pode ser feito a partir do arquivo de interfaces apenas fazendo "down" na interface correspondente ou a interface deve ser fisicamente removida do servidor?

Obrigado antecipadamente.

    
por Joseph Ramírez 06.12.2016 / 21:47

0 respostas

Tags

Headset USB com (Built-In DAC / AMP) não reconhecido corretamente pelo PulseAudio Isentando root / users do login do radius 2fa