Seguridad Linux Server - Sendmail - Apache -IP tables

Forums: 

Hola a todos estoy muy agradecido, pues he tenido la oportunidad de leer las nutritivas respuestas a las consultas y me anime a realizar una.

Mi_Realidad:
--------------
Tengo un Servidor Hp Proliant corriendo Centos 5 (IP privada)- Sistema Base + Apache + Senmail+dovecot+spamassassin+squirrelmail+clamav + OpenSSL + OpenSSH (solo tiene levantado los servicios necesarios para que corra web y correo) y eso esta conectado a un Modem/RouterADSL (IP publica estatica) ( haciendo NAT a mi server a los puertos que corresponde). el server gestiona aprox solo 100 cuentas y todo funciona OK.

La consulta es que tan seguro es este escenario?.....pienso que no es tan seguro....y pense en otro escenario.

Primer escenario planteado:
---------------------------
Mi server Hp con Centos 5 (Ip publica) - Sistema Base + Apache + Senmail+dovecot+spamassassin+squirrelmail+clamav+ OpenSSL + OpenSSH + IPtables (Primero bloqueo todo y aperturo segun necesidades) y eso conectado a modem/router adsl (Ip dinamico publico del ISP).

segundo escenario planteado:
-----------------------------
Mi server Hp con Centos 5 (Ip Privada) - Sistema Base + Apache + Senmail+dovecot+spamassassin+squirrelmail+clamav+ OpenSSL + OpenSSH y eso conectado aun equipo Router/Firewall(significa $$$) con (Ip publico Estatico) haciendo NAT a mi server a los puertos que corresponde.

=======================================================
yo mas me inclino por mi primer escenario planteado, pero quisiera que me ayuden con sus opiniones.

Obs: Instale el Centos 5 por red con lo min (software base) pues considero que asi es mas seguro pues menos puertas tiene abiertas pues he tenido la oportunidad de ver servidores corriendo gráficamente con la instalación por default + servicio de web y correo.

Cual de los escenarios seria algo mas seguro que el resto???
-----------------------
En lineas arriba "Mi Realidad" utilice herramientas de pentesting y no me arrojo o no puede sacar muchos resultados (aparentemente seguro a mi criterio), no me arrojo banderas(no pude lograr saber que servicios corre mi server) asumo que es porque mi server esta del lado privado y los servicios estan con NAT.

===========
En Primer escenario asumo que los resultados que me arroje las herramientas de pentesting dependera de que tan bien
este configurado mi IPTables???? y seria tedioso borrar las banderas...pues mi server linux esta con Ip publica.

=========
En Segundo escenario asumo que un Router Firewall me protegeria más a comparacion con los otros escenarios???
ya que mi server linux esta en el lado privado. Desde un punto de vista de seguridad que seria lo mas recomendable?

===============

Una duda mas para los que desen seguir leyendo.........
En el sendmail quiero hacer lo siguiente:
1.-Limitar a grupos de usuarios distintos (que trabajen dentro de la LAN) el tamaño max de mensaje (varia deacuerdo al grupo).
2.- Quiero agrupar y restringir usuarios en 3 grupos - correos internos, correos externos, ambos.
3.- Ya que a los usuarios les gusta las prestaciones que ofrece el exchange ,toy buscando añadir paquetes adicionales al server de correo linux para que haga algo parecido.

Que directivas (caso 1,2) necesito modificar??, caso 3: que paqueteria necesitaria???

Espero sus comentarios .....
Muchas Gracias a todos, espero haber plasmado bien mis dudas textualmente y no haberlos aburrido.

saludos
locobit