Barrapunto

Bueno, ok. Pero este hablaba de un firewall, que es algo diferente de una DMZ. Para una DMZ lo que necesitas a groso modo son dos barreras de firewalls y un segmento en medio.
Si lo tienes todo en uno por hardware ok. Pero si montas un solo linux con todo eso en una misma maquina no es tan seguro. Has de tener una pata del linux connectada al exterior, otra a la zona desmilitarizada y otra a tu red interna. Pero si te compromenten el servidor desde la pata exterior tienen acceso a todo de un plumazo.

  En cambio si tienes un linux haciendo de firewall entre el exterior y la DMZ y dentro de esta una segunda maquina haciendo de firewall entre la DMZ y tu red interna con muy, muy pocas cosas abiertas, la cosa cambia bastante. Primero han de comprometer y pasar el 1er firewall, encontrar el 2o, comprometerlo tambien a traves del otro y entrar. Cosa bastante mas dificil si piensas que muchos fallos de seguridad permiten 'pequenyas' ventajas pero no una shell remota con todo abierto, a no ser que seas muy torpe o tengas mucha mala pata. Ademas puedes incluso limitar los 'agujeros' que abres a determinadas IP's, una sola direccion, pocos servicios en puertos cambiados, etc.

Para estas cosas realmiente un jugetito de estos no es lo mas adecuado. Para casa si.