Je... El problema con estos temas es que se alaaaaarggaaaannn... Y no se acaban nunca (siempre hay algo más, te lo garantizo).

El tema de las DMZs... tener configuradas varias sólo tiene sentido en entornos con multiples servidores dando tipos específicos de servicio, y administradores dedicados a cada "granja"... Es decir, ISPs, google, etc... Tener que securizar, monitorizar y estar al loro de 5 o 6 puntos de acceso es una agonía.

Además, si tus DMZ cuelgan del mismo firewall, atacando ese firewall tienes acceso a toda la DMZ.

Hay una configuración qeu me gusta mas, y que hemos implementado e nempresas grandes con necesidades de mayor seguridad perimetral: Dos firewalls. Uno tras el router controlando accesos hacia/desde la DMZ. Otro entre la DMZ y la LAN.

Router - Firewall - DMZ - Firewall2 - LAN

Además, firewall y firewall2 SON diferentes S.O. (p.ej. openBSD y Linux), lo que hace MUY difícil que se puedan explotar de la misma manera.

El tráfico entre máquinas de la DMZ siempre encriptado (si alguien revienta un bug en un postfix, por ejemplo, que no pueda "snifar" el tráfico de ese segmento de red en busca de claves o lo que sea). Esto puedes hacerlo encriptando toda la red o, simplemente, estableciendo túneles encriptados para aquellos accesos necesarios entre máquinas (que suele ser imprescindible).

NUNCA permitir accesos entrantes de la DMZ hacia la LAN. SOLO permitir respuestas a tráfico generado en la LAN. Todas las contraseñas entre firewall2 y la DMZ (para el proxy, el correo, loquesea), viajando por túneles encriptados (como ya dije antes).

Esa configuración, en doble bastion host, me parece mucho más segura que con un solo firewall. Si alguien revienta tu firewall, lo revienta todo. Teniendo dos diferentes (en tu caso podría ser, un iptables y un ISA), complicas mucho la cosa al atacante.

Y... Ya lo dejo, si no esto va a parecer una monografía :)