Gracias Moeb, once more !!

Conocía esta implementación no porque la haya hecho, sino porque la he visto en manuales, etc, me refiero a la de doble bastion.

Sin embargo, sigo sin entender porque no poner aunque sean dos DMZ en vez de 1, no digo poner 5 DMZ porque eso quizás las hay en los ISP etc como comentas, pero una DMZ más es sólo una tarjeta de red más en cada firewall, y lo veo muy bien porque si en una DMZ pongo los Exchange por ejemplo, y en la otra pongo Apache con NLB (por redundancia) y un SFTP (también por NLB si se puede) , pues lo veo mucho más seguro, porque si entran en los Exchanges, no entran en la otra DMZ y viceversa. Supongo que habrá maneras de entrar pero ya estás poniendo más puerta, más seguridad , creo yo.

En cuanto a tunelización.....te refieres a IPSec? Lo he implementado alguna vez a nivel de todo el dominio por GPO pero el resultado fue desastroso, las cosas no funcionaban, por mi desconocimiento en profundidad de IPSec muy probablemente.

Me encanta lo que has dicho de dos firewalls diferentes, siempre leo esos consejos sobre poner dos softwares diferentes, por lo que comentas de Exploits, de más dificultad si entran. Gracias.

En cuanto a no permitir tráfico entrante desde la DMZ a la LAN lo veo difícil por una razón: Los Domain Controllers los tengo en la LAN, y entonces Exchange desde la DMZ necesita kerberos, LDAP, y algunos más para autenticarse en los DC´s de la LAN.

Hablando de los firewalls, se me courre ponerlos con NLB o Cluster por redundancia a fallos, osea, poner dos linux con IPtables por cluster o NLB, e igual con ISA Server, por si cae uno de ellos no dejar a los de la LAN sin servicios (correo, internet...).

Muchas gracias por los consejos !!