Controlador de Dominio En una DMZ
Publicado: 27 Julio, 2010 - 12:44 Controlador de Dominio En una DMZ
DesconectadoHola a tod@s
Tengo un Cortafuegos Linux con iptables al que se le han instalados tres tarjeta de red, la primera se conecta directamente al Modem ADSL, la segunda a la red local de los usuarios, y la tercera a una DMZ. Estoy interesado en mover el Controlador de Dominio (un WIndows NT 4.0) de la LAN de los usuarios a la DMZ, con lo que seguramente tendré que abrir puertos y quisiera saber cuales abrir para permitir por un lado, dar de alta en el dominio equipos nuevos como también permitir que los usuarios se autentiquen también.
Muchas gracias de antemano
- Inicie sesión o regístrese para enviar comentarios
- 647 lecturas
Te lo digo de memoria, pero creo que era el 445, para el ldap sin ssl 389 y el 686 con ssl.
Pero vamos que esas preguntas mejor en un foro de windows que tengas un linux de puente es circunstancial...
Un controlador de dominio es típicamente un servidor de uso exclusivamente interno. La lógica dice que un servidor de uso exclusivamente interno no es un riesgo para la red interna.
Por otro lado, tenemos que un controlador de dominio podría considerarse el activo mas valioso de una red, y por tanto seria mas coherente poner en una DMZ a todas las maquinas de la red interna antes que mover allí el DC.
La DMZ es por definición una zona gris dentro de una red. Mientras que para el resto de la red internet una DMZ es una zona accesible de modo indirecto, ya que no se accede directamente a los nodos de la DMZ sino a un firewall que administra el acceso, a ojos de la red interna la DMZ es tanto o mas peligrosa que el resto de los nodos de la red internet.
En otras palabras, un DC se ubica dentro de la red interna o incluso protegido de esta, limitando los nodos que pueden accesarlo y demas controles, como accesos limitados por franja horaria. Si tu intención es hacer algo similar a esto que menciono entonces estas mal encaminado, para empezar no se trata de una DMZ y ademas el firewall a utilizar nunca debería tener acceso a internet.
Saludos.
Bueno si lo que necesitas es la autenticación de algún servidor de correo, proxy o algun sistema que tengas en la dmz contra el active directory, lo mejor que te podría recomendar es que estos servidores los tiraras contra el IP del servidor que te hace de nat-firewall para tu red y si utilizas iptables solamente abriendo el puerto 389 tienes solucionado el problema y como dice pato silva proteges tu servidor de dominio.
Aquí lo logro mediante el siguiente ejemplo.
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.64/29 --dport 389 -j DNAT --to 192.168.100.13:389
iptables -A FORWARD -p tcp -d 192.168.100.13 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.100.13 -j ACCEPT
saludos.