Servidores Web - DMZ ou alternativa?

globsecure
(usa Ubuntu)

Enviado em 17/12/2013 - 15:04h

Bom pessoal estou iniciando em uma nova empresa e fiz alguns levantamentos, um deles foi verificar logs de Apache e Mysql de um dos servidores WEB quando me deparei com o seguinte problema.

As conexões recebidas pelo servidor são todas do Gateway ou seja o usuário final acessa é passado pelo Gateway que faz um redirecionamento de porta, isso tudo funciona porém o que não pode acontecer é esse meu servidor confiar assim nessas conexões.

Exemplo é impossível criar uma regra com htaccess para apenas IP Internos acessarem já que o próprio servidor acha que todas conexões vem do Gateway.

Então com um pouco de estudo e conversa percebi que a regra do meu Firewall (iptables: Não foi eu que fiz.), está um pouco confusa e eu me pergunto tratar com o iptables sem DMZ ou com DMZ.

Regra atual:
iptables -t nat -A PREROUTING -p tcp -i $MODEM --dport 8081 -j DNAT --to xxx.xxx.xxx.xxx :80
iptables -t nat -A POSTROUTING -d xxx.xxx.xxx.xxx -j SNAT --to 192.168.30.1



Já digo conheço o assunto mais não tenho pratica para isso, então eu vi algo sobre MASQUERADE também. Mais com medo de estragar a regra que "funciona" não apliquei nada que li.