У меня есть небольшая компьютерная лаборатория (8 рабочих станций HP, 1 сервер HP, 2 блока NAS, 1 сетевой принтер HP), где в настоящее время все устройства подключены напрямую к сети моего университета. Каждое устройство имеет IP-адрес, выделенный сетью через DHCP (но мне говорят, что они эффективно связаны с MAC-адресами в течение длительного времени, поэтому устройство получает один и тот же IP-адрес при каждом включении), и у меня было Имена хостов, назначаемые каждому устройству, управляются DNS-сервером университета.
У меня проблема в том, что после подключения к университетской сети устройства открыты для всех в Интернете; например, нет общежитийного межсетевого экрана. Я хотел бы изолировать некоторые или все эти устройства от Интернета, чтобы я мог контролировать, какие порты / службы на этих устройствах доступны из университета (например, мои коллеги хотят распечатать или сохранить данные на / получить доступ к данным из NAS). коробки) и которые доступны из-за пределов университетской сети. Все устройства, о которых я упоминаю, находятся в одном физическом месте (одна компьютерная комната), но моя рабочая станция находится в отдельной комнате, и я хочу получить доступ к каждому из устройств для администрирования самостоятельно.
Все рабочие станции (или будут) работают под управлением Scientific Linux. Ящики NAS - это продукты Synology, работающие под собственной ОС.
Как мне настроить эту мини-сеть? Имеет ли смысл размещать все устройства за маршрутизатором? Если я это сделаю, все равно можно будет подключаться к каждому устройству с помощью настроенных имен хостов (скажем, с моей рабочей станции, которые не будут находиться за маршрутизатором), и если это так, что мне нужно настроить для сделать это?
источник
Ответы:
Чтобы узнать, что сказал @KatherineVillyard, если вам нужен доступ к вашему NAS или другим системам из кампуса в целом, вот что я бы сделал:
Соединения кампуса
Поговорите с кем-либо, кто управляет маршрутизатором кампуса, и попросите их зарезервировать вам блок из 256 IP-адресов, который я назову ABC0 / 24. Значения A, B и C являются специфическими для вашего кампуса. Если вы не можете получить 256 адресов, вы будете жить, но получите как минимум 16. Меньшие зарезервированные блоки будут менять 0 и / 24 на разные числа, вплоть до / 28, если вы получите только 16 IP-адресов.
Они также должны будут настроить различные маршрутизаторы кампуса для маршрутизации вашего зарезервированного блока через определенный IP-адрес в другом сетевом блоке (как тот, который уже достигает вашей комнаты).
Если вы не можете зарезервировать блок адресов, вам будет труднее сделать свой NAS доступным из остальной части кампуса, но все остальное должно работать нормально изнутри сети во внешний мир. Это, конечно, не невозможно, но это может не стоить дополнительных усилий. Старайтесь изо всех сил, чтобы получить блок адресов - вам может понадобиться поговорить с несколькими разными людьми, если первый не понимает, что вам нужно.
Если у вас есть блок зарезервированных адресов, вам нужно записать сетевой адрес блока и маску сети, а также внешний IP-адрес, через который будет маршрутизироваться блок. Если вы не получили блок зарезервированных адресов, вы, вероятно, в конечном итоге будете использовать домашний маршрутизатор / брандмауэр, и вы можете просто использовать любые настройки по умолчанию.
Если с ИТ-отделом кампуса действительно легко работать, вы также можете запросить делегированный поддомен DNS для своей лаборатории. Что-то вроде gavinslab.campus.edu. Это действительно не критично, если они не дают это вам, но это удобно.
физический
Если у вас есть ИТ-отдел кампуса, чтобы зарезервировать вам блок адресов, найдите старый ПК, в который можно вставить три сетевых интерфейса. Он вовсе не должен быть мощным. Я маршрутизировал 100 Мбит трафика через оригинальный Pentium и гигабитный через Pentium III. Я действительно не проверял нижние пределы, просто работал с тем, что было легко доступно.
Если ИТ-отдел кампуса не может выделить вам блок адресов, просто получите вместо этого домашний маршрутизатор / межсетевой экран.
Затем захватите гигабитные коммутаторы Ethernet откуда-то. Коммутатора домашнего офиса должно быть достаточно, если на нем достаточно портов. Если у вас есть IT, чтобы выделить блок адресов, получите два коммутатора. Маркируйте один переключатель «DMZ», а другой - «Внутренний». Если они не выделили вам блок адресов, получите только один переключатель.
Маршрутизация / межсетевой экран (при условии отсутствия выделенного сетевого блока)
Если вы не получили блок адресов, просто подключите домашний маршрутизатор с внешним сетевым интерфейсом, подключенным к кампусу, и одним внутренним сетевым интерфейсом, подключенным к гигабитному коммутатору. Относитесь к комнате как к домашней сети, где вы можете без проблем добраться до кампуса и внешнего мира, но кампусу и внешнему миру будет нелегко вернуться к вам.
Маршрутизация / межсетевой экран (с выделенным сетевым блоком)
Если вы получили блок адресов, то подключите сетевой интерфейс старого компьютера к сети кампуса. Я бы обычно устанавливал на него Debian.
После этого я установил бы вторую и третью сетевые карты, а затем использовал мой tar -файл firewall-bootstrap для настройки брандмауэра, DNS, DHCP и других критически важных служб (мы выбили этот сценарий из класса, в котором я участвую). запуск лабораторий для, но более широкое тестирование и отзывы приветствуются). Если у вас есть опыт, не стесняйтесь делать что-то еще эквивалентное.
Все остальное (с выделенным сетевым блоком)
Подключите один включенный коммутатор к одному из дополнительных сетевых интерфейсов в брандмауэре. Проверьте сообщения ядра, чтобы увидеть, какой интерфейс Ethernet только что появился. Если вы используете мой сценарий, вы хотите убедиться, что внутренний переключатель включен на eth1, а DMZ - на eth2.
Подключите системы, которые должны быть непосредственно доступны снаружи комнаты, к переключателю DMZ. Подключите все другие системы к внутреннему коммутатору.
И оттуда, честно говоря, вам нужно будет задавать больше вопросов по мере необходимости. Я доверяю своему сценарию, чтобы настроить рабочие настройки DNS и DHCP для обоих сегментов сети, а также по умолчанию блокировать внешние подключения. Но все остальное, как правило, зависит от конкретного сайта.
источник
Прежде всего, как побег из академических кругов, у вас есть мои искренние соболезнования. В отличие от вышеприведенных комментариев, у меня нет проблем с верой, что у вас нет межсетевого экрана.
Самый простой, самый элегантный способ сделать это, увы, иметь межсетевой экран в кампусе. Следующим лучшим решением, в зависимости от того, кому вы хотите иметь доступ к своей лаборатории, было бы иметь какой-то брандмауэр отдела, где каждый, кто нуждался в доступе, находился внутри указанного брандмауэра отдела.
Если вы не можете сделать что-либо из этого - и я боюсь, что вы этого не сделаете - вам, вероятно, придется настроить брандмауэр с помощью «разрешить из [диапазонов ip кампуса] / запретить от всех остальных». Если вы хотите получить доступ к этим машинам за пределами этого брандмауэра, вам, вероятно, придется использовать маршрутизируемые номера ваших кампусов.
И как вы сказали в своем комментарии:
Правильный. Вероятно, я бы просто в отчаянии вскинул руки и использовал iptables, но кто-то другой мог бы дать вам лучший ответ.
Наконец, я просто хотел подтвердить, что это:
означает, что у вас есть статическое резервирование DHCP. В противном случае, DNS-сервер университета необходимо будет обновить, если эти цифры изменятся.
Удачи!
источник