modem ip fixo, servidor web, rede interna - duvidas

[guardianlord]

Bom, eu sei que pode parecer estranho, mas vou tentar explicar o que me pediram para tentar fazer e se é possível.
modem vivo ip fixo com 200.x.x.202
Duas aplicação web que acessa esse ip externo, uma direto e outra pela porta 8081.
Um servidor precisa receber a internet do modem, ficando antes do roteador/firewall, depois esse mesmo modem precisa ir para o servidor de roteamento e firewall, e só depois disso ir para o outro servidor de aplicação da porta 8081.
A ideia é que o primeiro servidor não dependa do roteador/firewall, ficando direto na entrada do modem da vivo e caso de algum problema no firewall este ainda continue funcionando.
Esquematizando ficaria mais ou menos assim:

modem adsl ip fixo--->server ubuntu server app web--->server roteador/firewall(pfsense)--->segundo server app web porta 8081 e rede interna

O modem sendo ip fixo, teria que o primeiro server e o segundo server pegarem o mesmo ip, no caso o de cima, para que quem acessa de fora poder acessar ambos os aplicativos web.
Ou seja, eu não posso mudar o IP pra nenhum dos dois servidores e nem colocar um outro roteador depois do modem. Os pacotes precisam ir para os 2 servidores e quem tiver acessando o IP direto tem que cair no primeiro servidor e quem tiver acessando o IP com 8081 precisa ir para o segundo depois do roteador. Não sei se fui claro.
Tem como isso? O que eu teria que fazer?

[Véio do Rio]

Boa noite,

A forma correta de fazer isso não é como te pediram pra fazer. Não faz sentido, além de não ser nem um pouco recomendado do ponto de vista de segurança, ligar um servidor direto na internet, sem um firewall de borda para protegê-lo. O que você deve fazer é colocar uma terceira placa no firewall (pfsense) e utilizá-la como DMZ, ligando um switch nela e posteriormente seus 2 servidores, com IPs internos. No pfsense você configura os encaminhamentos da porta 80 para o IP privado do seu server 1 e da porta 8081 para o IP privado do seu server 2. As outras 2 placas de rede serão a WAN (que você ligará o modem) e a LAN, que você ligará no seu switch de rede interna. E não se esqueça de configurar as regras restritivas de acesso da WAN para a LAN, e permissivas (para os serviços que quer disponibilizar aos usuários externos) da WAN para a DMZ. Enfim, atenção à configuração do firewall!

Espero ter ajudado.

[guardianlord]

Boa noite,

A forma correta de fazer isso não é como te pediram pra fazer. Não faz sentido, além de não ser nem um pouco recomendado do ponto de vista de segurança, ligar um servidor direto na internet, sem um firewall de borda para protegê-lo. O que você deve fazer é colocar uma terceira placa no firewall (pfsense) e utilizá-la como DMZ, ligando um switch nela e posteriormente seus 2 servidores, com IPs internos. No pfsense você configura os encaminhamentos da porta 80 para o IP privado do seu server 1 e da porta 8081 para o IP privado do seu server 2. As outras 2 placas de rede serão a WAN (que você ligará o modem) e a LAN, que você ligará no seu switch de rede interna. E não se esqueça de configurar as regras restritivas de acesso da WAN para a LAN, e permissivas (para os serviços que quer disponibilizar aos usuários externos) da WAN para a DMZ. Enfim, atenção à configuração do firewall!

Espero ter ajudado.

 

Sim, depois conversei direito com a pessoa que me pediu e chegamos a esse ponto exatamente como você descreveu.

Vou montar um outro firewall com DMZ para essa nova rede e fazer um redirecionamento para o outro firewall da rede antiga.

Na verdade o que ele queria é colocar um server web redundante (no caso o server novo) fora da rede atual, caso o segundo firewall caia por algum motivo (por ser muito antigo e mal configurado), o serviço web não fique fora do ar como o servidor novo.

Futuramente pretendemos refazer toda a estrutura da rede eliminando a rede antiga por uma mais nova, mas por enquanto terá que ser assim.

Me ajudou sim. Obrigado.