Separar Mail Server en la DMZ y el Active Directory , AYUDA

jzevallos

Saludos Estimados

Necesito de su gran ayuda y recomendaciones, soy aun nuevo en pfsense, actualmente en nuestra empresa no contamos con un firewall, es por esto que estamos realizando pruebas con el Pfsense para su posterior implementación.
Actualmente Tenemos un mail server que esta con postfix  la cual tiene 2 tarjetas de red, una dirección ip pública y la otra con la LAN, este utiliza autenticación al dominio, es decir también tenemos nuestro propio servidor de active directory en windows server 2008, aquí creamos todos los usuarios y sus cuentas de correos. La idea es separar el mail server en la DMZ.

La pregunta es cómo hago para que el mail server estando con la DMZ se comunique con el servidor de active directory que está en la red LAN (interna), según tengo entendido que en la DMZ no tengo que configurar nada que tenga acceso a mi red LAN (Interna).

Como dato adicional en el pfsense, tengo una ip virtual pública, esta ip es la que esta publicada y la utilizaba el mail server, ya he configurado los respectivos NAT, con sus puertos, como el SMTP, POP3 y el WEB para que los usuarios desde el internet puedan acceder a su cuenta de correo,  todo esto salió correctamente, pero claro teniendo conectado el mail server en una de sus interfaces directo a la LAN en donde está el servidor de dominio.

Aquí adjunto el diagrama de prueba actual,

https://dl.dropboxusercontent.com/u/102006400/Mail.jpg

Claro publicare la solución una vez resuelto el caso. Gracias

acriollo

sugerencia de lectura
https://technet.microsoft.com/en-us/library/dd728030(WS.10).aspx

gersonofstone

Hola

Quieres dejar el mail server y AD detras del pfsense?

amnarl

Saludos mi estimado, le recomiendo en documentacion el antiguo tutorial del maestro bellera. Recuerde que las reglas trafico en pfsense se deben colocar bajo un principio alli detallado (Toda regla de trafico se establece en el origen).

Partiendo de esto si usted desea es darle acceso al AD a comunicarse con el mail server ubicado en la DMZ tan solo debe colocar las reglas correspondiente en la Lan y si quisiera ser mas especifico dando acceso al AD hacia su mail server por los puertos necesarios y usados por usted para el tipo de comunicación con esto ambos podrian comunicarse sin problemas solo si el equipo mail server en DMZ tiene acceso ilimitado en su red de servicios de no ser asi y tenerlo de forma limitada y desea comunicación bidireccional debe agregar                        en DMZ las reglas correspondientes.

Espero poderte servir de ayuda

jzevallos

@gersonofstone:

Hola

Quieres dejar el mail server y AD detras del pfsense?

Saludos Muchas gracias por la contestation,
Si Esa es la idea El mail server y el AD estarán detrás del pfsense, El mail server en la DMZ y el AD en la LAN,  Claro el Mail server debe de comunicarse con el AD que esta en la Lan, ya q aquí están todos los usuarios, Sus comentarios e ideas me ayudarían mucho, para no cometer errores de configuracion..
Gracias…

jzevallos

@amnarl:

Saludos mi estimado, le recomiendo en documentacion el antiguo tutorial del maestro bellera. Recuerde que las reglas trafico en pfsense se deben colocar bajo un principio alli detallado (Toda regla de trafico se establece en el origen).

Partiendo de esto si usted desea es darle acceso al AD a comunicarse con el mail server ubicado en la DMZ tan solo debe colocar las reglas correspondiente en la Lan y si quisiera ser mas especifico dando acceso al AD hacia su mail server por los puertos necesarios y usados por usted para el tipo de comunicación con esto ambos podrian comunicarse sin problemas solo si el equipo mail server en DMZ tiene acceso ilimitado en su red de servicios de no ser asi y tenerlo de forma limitada y desea comunicación bidireccional debe agregar                        en DMZ las reglas correspondientes.

Espero poderte servir de ayuda

Saludos Estimado,

Muchas Gracias Por Contestar,

Una Pregunta habría un problema de seguridad, si yo en la DMZ a mi Mail server le doy acceso para que se comunique con mi AD que esta en la LAN, Lo que pasa es que cuando los usuarios acceden vía WEB por el Correo, estos usuarios se los verifica en el dominio. No tengo  experiencia en configuración de firewall, pero lo que he investigado es que en la DMZ nunca debe de tener acceso a la LAN, es por esta razón que no se si darle los respectivos accesos desde mi DMZ que esta el Mail server  a mi AD en la LAN .. Se te agradece tu tiempo, te agradecía mucho tu comentario .. muchas gracias….

amnarl

Fijate muy bien mi estimado el inconviente realmente seria que diera acceso sin limite a tu LAN  hacia la DMZ recuerda que la DMZ es una zona de seguridad para tus servidores y por lo tanto los acceso a la misma deben estar bien restringidos y especificado para que realmente sea una DMZ real ahora bien la DMZ por ser la zona de servidores debería tener acceso a todo es decir todas tus lan de ser necesario para ofrecer los servicios que tienes activo en cada una y por razones obvia acceso a WAN o a su puerta de enlace hacia afuera de tu red (Internet) no siendo asi al contrario desde WAN  a tu DMZ  tambien debes restringir el acceso por defecto e ir abriendo la llave como lo necesites y como sea mas seguro para tus equipos.

Espero puedas entender lo que te comunico y que puedas llevar a la practica sin problemas