Firewall

Hola. Vaya sorpresa que respondas un post de hace 4 años (la culpa es mía por no haberlo cerrado) pero ante todo muchas gracias. Te cuento: el problema se resolvió de la siguiente manera: se instaló una distribución debían sin modo gráfico y para administración de las iptables se utilizó shorewall (tiene modulo para webmin adicionalmente). En cuanto al modelo de conexión lo más adecuado es conectar el eqeuipo que haría las veces de firewall entre el router y el switch utilizando para esto dos tarjetas de red en el equipo firewall, de forma tal que el router quede "aislado" del switch. De otra forma (conectando todo al switch) tendrías problemas a nivel del protocolo arp y comportamiento errático en la red. En cuanto a bloquear por ip o por interfaz, eso depende, en escenarios sencillos es viable denir reglas sobre la interfaz, pero en configuraciones con enrutamiento complejo y múltiples ip por interfaz hay que hacer reglas por ip. Finalmente y con algunos conocimientos de más después de 4 años responderé mis propias preguntas (ja ja ja): La ip de las maquinas pueden dejarse de muchas maneras, utilizando nat y direccionamiento probado, o con las ip publicas en cada maquina, en este caso particular las deje las ip publicas en cada máquina (las máquinas tenían 2 interfaces de red y la segunda quedo con el direccionamiento privado) y para que salieran estando detrás del firewall utilice proxy sobre arp ( la ip de cada servidor se proyecta a la interfaz wan o publica del firewall). En cuanto a la segunda pregunta, obviamente el firewall será el gateway de los equipos que estén detrás de el (en ese escenario) y el punto 3 da para hablar mucho, pero simplemente digamos que es posible volver la configuración de zonas del DNS microsoft a un archi plano y este archivo tiene una estructura semejante a la de los archivos de zonas de bind por lo que la migración de dns de windows a linux es relativamente sencilla. Muchas gracias por contestar, este fue la primera vez que le pregunté algo a la comunidad y la respuesta fue tan buena que adopte la practica de contestar preguntas cuando algo podía aportar.

Vas por buen camino, lo que te están faltando es abrir el puerto 53 y redireccionarlo al server dns que tiene detrás del firewall, los mismo con los puertos 110 para el pop y 25 para el smtp y el 80 para el web, mi consejo, para que no se te compliquen demasiado las cosas es: ingresa a www.webmin.com, bajate la ultima version e instálalo en el linux, con este programa la administración del firewall se vuelve mucho más que sencilla. Espero que te sirva. Saludos.
P.D.: En tu lugar, las ips públicas se las dejaría al firewall, con reglas de redireccionamiento a tus equipos con ip privadas. Vas a ver que con el webmin te va a resultar bastante sencillo.

En primer lugar, el Cisco puede actuar como firewall. Puedes utilizar el enmascaramiento para direccionar tus IP publicas. Yo colocaría el DNS frente al firewall para trabajar mi resolución de nombres. En linux configuro IPTABLES haciendo nat y controlando el trafico saliente. Tu solución A es buena pero manejando muy bien el DNS. El gateway interno seria la dirección del servidor linux porque domina la lan y sale a internet. Colocaría detectores como Portsentry y ademas manejaría tripwire. Has un esquema de tu red antes de instalar Tripwire para verifcar el comportamiento posterior. Cuéntame como te va.

Veamos, en primer lugar y ya que dispones de suficientes ip's públicas, nada de NAT, solo te complicaría la vida.
Si lo he entendido bien tienes puesto la máquina firewall de forma que SIEMPRE hay que pasar por ella tanto si se intenta enviar correo como consultar dns o web por lo tanto, en principio, lo que deberías procurar es tener abierto en el firewall tanto por udp como por tcp los puertos de dns, web y correo. Confirmarme por favor que esto es así antes de continuar. Puertos 53,54,25,110,80...