У меня есть небольшая компьютерная лаборатория (8 рабочих станций HP, 1 сервер HP, 2 устройства NAS, 1 сетевой принтер HP), где в настоящее время все устройства подключены непосредственно к сети моего университета. Каждое устройство имеет IP-адрес, выделенный сетью через DHCP (но мне сказали, что они эффективно привязаны к MAC-адресам в течение длительного времени, поэтому устройство получает один и тот же IP-адрес каждый раз при включении), и у меня был имена хостов, присвоенные каждому устройству, управляемому университетским DNS-сервером.
Моя проблема заключается в том, что после подключения к университетской сети устройства открыты для всех в Интернете; например, нет брандмауэра для всего кампуса. Я хотел бы изолировать некоторые или все эти устройства от Интернета, чтобы я мог контролировать, какие порты / службы на этих устройствах доступны изнутри университета (например, мои коллеги хотят распечатать или сохранить данные на NAS или получить доступ к ним. коробки), которые доступны за пределами университетской сети. Все устройства, о которых я упоминал, находятся в одном физическом месте (в одной компьютерной комнате), но моя рабочая станция находится в отдельной комнате, и я хочу сам получить доступ к каждому из устройств для администрирования.
Все рабочие станции работают (или будут) под управлением Scientific Linux. Ящики NAS - это продукты Synology с собственной ОС.
Как мне настроить эту мини-сеть? Есть ли смысл разместить все устройства за маршрутизатором? Если я это сделаю, можно ли будет подключаться к каждому устройству с помощью настроенных имен хостов (скажем, с моей рабочей станции, которая не будет находиться за маршрутизатором), и если да, то что мне нужно настроить для заставить это случиться?
Прежде всего, как беглецу из академической среды, примите мои искренние соболезнования. В отличие от комментаторов выше, у меня нет проблем с уверенностью, что у вас нет межсетевого экрана кампуса.
Увы, самый простой и элегантный способ сделать это - установить межсетевой экран кампуса. Следующим лучшим решением, в зависимости от того, кому вы хотите получить доступ к своей лаборатории, было бы иметь какой-то брандмауэр отдела, где все, кому нужен доступ, находились внутри указанного брандмауэра отдела.
Если вы не можете сделать ни одно из этих действий - а я боюсь, что вы этого не сделаете - вам, вероятно, придется настроить брандмауэр с «разрешить с [диапазоны IP кампуса] / запретить от всех остальных». Если вы хотите получить доступ к этим машинам за пределами этого брандмауэра, вам, вероятно, придется использовать маршрутизируемые номера кампусов.
И как вы сказали в своем комментарии:
Спасибо, поэтому, если я использую свой собственный брандмауэр, я либо настраиваю каждое отдельное устройство, о котором упоминал соответственно (iptables в Linux), либо мне нужно организовать пропускание трафика, идущего на эти устройства, через отдельное устройство брандмауэра.
Верный. Я бы, наверное, просто в отчаянии вскинул руки и использовал iptables, но кто-то другой может предложить вам лучший ответ.
Наконец, я просто хотел подтвердить, что это:
Каждое устройство имеет IP-адрес, выделенный сетью через DHCP (но мне сказали, что они эффективно привязаны к MAC-адресам в течение длительного времени, поэтому устройство получает один и тот же IP-адрес при каждом включении), и у меня был имена хостов, присвоенные каждому устройству, управляемому университетским DNS-сервером.
означает, что у вас есть статическое резервирование DHCP. В противном случае, если эти числа изменятся, придется обновить университетский DNS-сервер.
Удачи!
Чтобы продолжить то, что сказал @KatherineVillyard, если вам нужен доступ к вашему NAS или другим системам из кампуса в целом, вот что я бы сделал:
Связи с кампусом
Поговорите с тем, кто управляет маршрутизатором кампуса, и попросите их зарезервировать вам блок из 256 IP-адресов, который я назову A.B.C.0 / 24. Значения A, B и C зависят от вашего кампуса. Если вы не можете получить 256 адресов, вы будете жить, но получите как минимум 16. Зарезервированные блоки меньшего размера изменят 0 и / 24 на разные числа, вплоть до / 28, если вам выделено только 16 IP-адресов.
Им также потребуется настроить различные маршрутизаторы кампуса для маршрутизации вашего зарезервированного блока через определенный IP-адрес в другом сетевом блоке (например, тот, который уже достигает вашей комнаты).
Если вы не можете зарезервировать блок адресов, вам будет труднее сделать ваш NAS доступным для остальной части кампуса, но все остальное должно работать нормально изнутри сети во внешний мир. Это, конечно, не невозможно, но может не стоить дополнительных усилий. Изо всех сил постарайтесь получить блок адресов - вам может потребоваться поговорить с несколькими разными людьми, если первый не поймет, что вам нужно.
Если у вас есть блок зарезервированных адресов, вам необходимо записать сетевой адрес и сетевую маску блока, а также внешний IP-адрес, через который будет маршрутизироваться блок. Если вы не получили блок зарезервированных адресов, вы, вероятно, в конечном итоге собираетесь использовать домашний маршрутизатор / брандмауэр, и вы можете просто использовать любые настройки, которые он имеет по умолчанию.
Если с ИТ-отделом кампуса действительно легко работать, вы также можете запросить делегированный поддомен DNS для своей лаборатории. Что-то вроде gavinslab.campus.edu. Это действительно не критично, если вам этого не дадут, но это удобно.
Физический
Если у вас есть ИТ-отдел кампуса, чтобы зарезервировать вам блок адресов, найдите старый компьютер, на котором можно разместить три сетевых интерфейса. Он вовсе не должен быть мощным. Я направил 100 Мбит трафика через оригинальный Pentium и гигабитный через Pentium III. Я действительно не тестировал нижние пределы, просто работал с тем, что было легко доступно.
Если ИТ-отдел кампуса не смог выделить вам блок адресов, просто приобретите вместо него домашний маршрутизатор / брандмауэр.
Затем возьмите откуда-нибудь гигабитные коммутаторы Ethernet. Коммутатора для домашнего офиса должно быть достаточно, если в нем достаточно портов. Если у вас есть ИТ для выделения блока адресов, получите два переключатели. Назовите один переключатель «DMZ», а другой «Internal». Если они не выделили вам блок адресов, получите только один переключатель.
Маршрутизация / межсетевой экран (при отсутствии выделенного сетевого блока)
Если вы не получили блок адресов, просто подключите домашний маршрутизатор к внешнему сетевому интерфейсу, подключенному к университетскому городку, и одному внутреннему сетевому интерфейсу, подключенному к гигабитному коммутатору. Относитесь к комнате как к домашней сети, где вы можете без проблем добраться до кампуса и внешнего мира, но кампусу и внешнему миру будет трудно вернуться к вам.
Маршрутизация / межсетевой экран (с выделенным сетевым блоком)
Если вы получили блок адресов, подключите встроенный сетевой интерфейс старого ПК к сети университетского городка. Я обычно устанавливаю на него Debian.
После этого я установил вторую и третью сетевые карты, а затем использовал свои firewall-bootstrap tarball для настройки брандмауэра, DNS, DHCP и других критически важных служб (мы избавились от этого сценария в классе, для которого я веду лабораторные работы, но более широкое тестирование и отзывы приветствуются). Если у вас есть опыт, смело делайте что-нибудь подобное.
Все остальное (с выделенным сетевым блоком)
Подключите один включенный коммутатор к одному из дополнительных сетевых интерфейсов брандмауэра. Проверьте сообщения ядра, чтобы узнать, какой интерфейс Ethernet только что появился. Если вы используете мой скрипт, вы хотите убедиться, что внутренний переключатель находится на eth1, а переключатель DMZ - на eth2.
Подключите системы, к которым должен быть прямой доступ из-за пределов комнаты, на переключатель DMZ. Подключите все остальные системы к внутреннему переключателю.
И оттуда, честно говоря, вам нужно будет задавать больше вопросов по мере необходимости. Я доверяю своему сценарию настроить рабочий DNS и DHCP для обоих сегментов сети и по умолчанию блокировать внешние подключения. Но все остальное, как правило, зависит от сайта.