DMZ wegen App-Server

Hallo zusammen, 

folgende Situation:

Wir haben im Netzwerk ein Server auf dem eine Personalplanungssoftware läuft.
Jetzt wollen die User eine App für unterwegs, dies bedeutet für uns, dass wir eine "Tür" öffnen müssen... leider.

Unsere überlegung war nun die folgende:
Einen 2. Server in die DMZ auf dem die App / User zugreift.
Dieser soll sich dann mit dem Server im Netzwerk synchronisieren. 

Wie muss die Firewall grob eingestellt werden?
d.h. wie würde ich der Firewall sagen, dass der Traffic von Außen (Port) nur in die DMZ geht? Und wie kann ich der Firewall sagen, dass der Server in der DMZ mit dem im Netzwerk reden darf?

Danke.

Ich habe hier für ein Ticketsystem auf MS-CRM-Basis folgenden Ansatz gewählt.
in der DMZ steht ein minimales Linux-System mit mysql und php. Darauf melden sich die User an. 
Intern steht ein zweites Linux-System das alle 5 Sekunden das System in der DMZ auf "Jobs" abfragt und diese dann abarbeitet. Im konkreten Fall holt sich das interne System die Login-Daten und gleicht sie mit dem MS-CRM ab. Sind die Daten ok kriegt das System in der DMZ eine entsprechende Information und zusätzlich werden dann von innen die Ticketinformationen an das System in der DMZ übermittelt. Nachdem sich der User abgemeldet hat werden seine Daten in der DMZ entfernt. 
Die Astaro muss so konfiguriert werden das von innen in die DMZ Daten übermittelt werden können. Bei uns werden grundsätzlich keine Daten aus der DMZ nach intern weitergeleitet. Einzige Ausnahme sind Mails die durch den zentralen Virenscanner "gejagt" werden.
Will sagen:
Daten aus der DMZ ins Netz lassen ist eine ganz schlechte Idee.

Gruß

Hallo zusammen, 

folgende Situation:

Wir haben im Netzwerk ein Server auf dem eine Personalplanungssoftware läuft.
Jetzt wollen die User eine App für unterwegs, dies bedeutet für uns, dass wir eine "Tür" öffnen müssen... leider.

Unsere überlegung war nun die folgende:
Einen 2. Server in die DMZ auf dem die App / User zugreift.
Dieser soll sich dann mit dem Server im Netzwerk synchronisieren. 

Wie muss die Firewall grob eingestellt werden?
d.h. wie würde ich der Firewall sagen, dass der Traffic von Außen (Port) nur in die DMZ geht? Und wie kann ich der Firewall sagen, dass der Server in der DMZ mit dem im Netzwerk reden darf?

Danke.

Ich habe hier für ein Ticketsystem auf MS-CRM-Basis folgenden Ansatz gewählt.
in der DMZ steht ein minimales Linux-System mit mysql und php. Darauf melden sich die User an. 
Intern steht ein zweites Linux-System das alle 5 Sekunden das System in der DMZ auf "Jobs" abfragt und diese dann abarbeitet. Im konkreten Fall holt sich das interne System die Login-Daten und gleicht sie mit dem MS-CRM ab. Sind die Daten ok kriegt das System in der DMZ eine entsprechende Information und zusätzlich werden dann von innen die Ticketinformationen an das System in der DMZ übermittelt. Nachdem sich der User abgemeldet hat werden seine Daten in der DMZ entfernt. 
Die Astaro muss so konfiguriert werden das von innen in die DMZ Daten übermittelt werden können. Bei uns werden grundsätzlich keine Daten aus der DMZ nach intern weitergeleitet. Einzige Ausnahme sind Mails die durch den zentralen Virenscanner "gejagt" werden.
Will sagen:
Daten aus der DMZ ins Netz lassen ist eine ganz schlechte Idee.

Gruß