Pasos previos que se dieron a la conexión pública del Servidor: comprar el dominio o Nombre en Internet, direccionar hacia nuestra IP, el diseño de la Intranet y la configuración del Router.

La situación de partida

Ya teníamos una Intranet en marcha y funcionando antes de instalar y configurar los servicios en Internet.

Se había instalado un Servidor, con GNU/Linux por supuesto, con un múltiple propósito:

• Separar adecuadamente las Aulas de Informática (red de alumnado) de los puestos de administración y profesorado (red administrativa).
• Filtrar los accesos de los alumnos ante el abuso de los programas de descarga (p2p).
• Actuar como Servidor proxy-caché.
• Dar adecuado soporte como Servidor de Ficheros (samba) y gracias a su RAID actuar como almacén de backups.
• Servidor web y DNS interno.
• Proteger la red interna actuando como firewall.

Tenemos así un Servidor con tres tarjetas de red:

1. Tarjeta de Red (eth0 - 192.168.0.x) conectada al Módem-Router ADSL, que proporciona acceso al exterior.
2. Tarjeta de red (eth1 - 192.168.1.x) conectada a un swtich que conecta a todos los puestos de Secretaría, Equipos Directivos y Profesorado
3. Tarjeta de red (eth2 - 192.168.2.x) que está conectada a un switch que está conectado a cada uno de los PC de los profesores de las Aulas de Informática (cada uno de éstos actúa como enrutador de todos los puestos de los alumnos de su aula)

Ampliando la Red

Bien, ¿dónde colocar el host que va a ser el Servidor en Internet?

Hay varias posibilidades: el mismo servidor de la Red Interna, un puesto colocado tras ese servidor o un host expuesto directamente al exterior. Por motivos de seguridad, ésta es la mejor opción. Colocar un servidor con puertos abiertos (http, smtp, ssh, ...) en Internet es, en sí mismo, un peligro. Es una puerta abierta, un agujero de seguridad en la práctica. Lo mejor es dejarlo expuesto a él solito, apartado de la red interna.

Se procede a cambiar el módem-router por otro con cuatro conectores ethernet al que ahora se conectan los dos servidores. Tenemos así una red formada por estos tres nodos: el router (192.168.0.1) que actúa como puerta de enlace, el Servidor Interno (192.168.0.2) y el Servidor Externo (192.168.0.3)

El resto queda invariante.

Nótese así que la Red Interna queda detrás de dos cortafuegos: el que trae el propio router y el filtrado a través de iptables que realiza el Servidor Interno. El Servidor Externo sólo quedará protegido por su propio firewall usando netfilter (iptables). Es lo que algunos denominan un host bastión.

Interfaces de red en el Servidor Exterior

Bueno, en principio pensé colocar dos interfaces de red al nuevo Servidor: una conectada al router (interfaz exterior) y una segunda tarjeta de red conectada a la red interior. Pero al final pensé que ya estaba bien de paranoias y me decanté por sólo una conectada al router.

No obstante, el firewall del servidor quedó preparado para que en cualquier momento podamos realizar el cambio.