¿Cómo configurar una pequeña red de computadoras dentro de una red universitaria más grande?

8

Tengo un pequeño laboratorio de computación (8 estaciones de trabajo HP, 1 servidor HP, 2 cajas NAS, 1 impresora en red HP) donde actualmente todos los dispositivos están conectados directamente a la red de mi universidad. Cada dispositivo tiene una dirección IP asignada por la red a través de DHCP (pero me han dicho que están efectivamente vinculados a las direcciones MAC durante mucho tiempo, por lo que el dispositivo obtiene la misma IP cada vez que se enciende), y he tenido nombres de host asignados a cada dispositivo, administrados por el servidor DNS de la universidad.

El problema que tengo es que una vez conectado a la red de la universidad, los dispositivos están abiertos a cualquier persona en Internet; no hay firewall en todo el campus, por ejemplo. Me gustaría aislar algunos o todos estos dispositivos de Internet para poder controlar qué puertos / servicios en estos dispositivos son accesibles desde la universidad (por ejemplo, mis colegas quieren imprimir o almacenar datos en / acceder a datos desde el NAS cajas) y que son accesibles desde más allá de la red universitaria. Todos los dispositivos que menciono están en la misma ubicación física (la sala de una computadora), pero mi estación de trabajo está en una sala separada y quiero acceder a cada uno de los dispositivos para la administración.

Todas las estaciones de trabajo están (o estarán) ejecutando Scientific Linux. Las cajas NAS son productos Synology que ejecutan su propio sistema operativo.

¿Cómo debo hacer para configurar esta mini red? ¿Tendría sentido poner todos los dispositivos detrás de un enrutador? Si hago eso, ¿será posible conectarme a cada dispositivo con los nombres de host que se han configurado (por ejemplo, desde mi estación de trabajo que no estará detrás del enrutador), y si es así, ¿qué necesito configurar? hacer que eso suceda?

Gavin Simpson
fuente
44
"No hay un firewall en todo el campus". Me parece muy, muy difícil de creer. ¿Has confirmado esto con el personal de TI de la universidad?
joeqwerty
66
Esta pregunta parece estar fuera de tema porque debe hacerse al personal de TI de su universidad.
EEAA
2
Luego pídales un firewall. Será divertido para ellos, siendo la primera vez que usan uno, y todo.
mfinni
3
¿Podría alguien explicar por qué esto es OT o lo que necesito hacer para abordar el tema? Como le contesté a @EEAA antes, me he ocupado del problema de mi universidad de soporte de TI y lo anterior es el "consejo" Se me ha proporcionado. Depende de mí usar ese consejo. Como sugiere la siguiente respuesta, el soporte de TI en muchas instituciones académicas no está en condiciones de proporcionar ayuda individual por una variedad de razones, a menudo financieras. Por lo tanto, nos quedamos con nuestros propios dispositivos. Con mucho gusto mejoraré la Q si puedo, pero hasta ahora nadie ha dicho qué está mal, aparte de la presunción de que no había pedido soporte de TI.
Gavin Simpson
44
Sí, un enrutador también suele ser capaz de crear firewalls, y viceversa, por lo que los términos a veces se usan indistintamente. Esto podría ser cualquier cosa, desde un enrutador doméstico reconfigurado de $ 20 (pero hágase un favor y no sea tan barato) a un Cisco u otro de $ 15,000. O $ 150,000. Probablemente en algún lugar alrededor de un Cisco ASA 55xx es donde querrá estar. Sea lo que sea, recuerde desactivar NAT.
Michael Hampton

Respuestas:

5

Para seguir lo que dijo @KatherineVillyard, si necesita acceder a su NAS u otros sistemas desde el campus en general, esto es lo que haría:

Conexiones del campus

Hable con quien administra el enrutador del campus y pídales que le reserven un bloque de 256 direcciones IP, lo que llamaré ABC0 / 24. Los valores de A, B y C son específicos de su campus. Si no puede obtener 256 direcciones, vivirá, pero obtendrá al menos 16. Los bloques reservados más pequeños cambiarán el 0 y el / 24 a diferentes números, hasta / 28 si solo obtiene 16 IP asignadas.

También deberán configurar varios enrutadores del campus para enrutar su bloque reservado a través de una dirección IP específica en un bloque de red diferente (como el que ya llega a su habitación).

Si no puede reservar un bloque de direcciones, le resultará más difícil hacer que su NAS sea accesible desde el resto del campus, pero todo lo demás debería funcionar bien desde dentro de la red hasta el mundo exterior. Ciertamente no es imposible, pero puede que no valga la pena el esfuerzo extra. Intente lo más que pueda para obtener el bloque de direcciones; es posible que deba hablar con algunas personas diferentes si la primera no comprende lo que necesita.

Si tiene un bloque de direcciones reservadas, debe registrar la dirección de red y la máscara de red del bloque, y también la IP externa a través de la cual se enrutará el bloque. Si no obtuvo un bloque de direcciones reservadas, probablemente terminará usando un enrutador / firewall doméstico, y puede usar cualquier configuración que tenga de forma predeterminada.

Si es realmente fácil trabajar con la TI del campus, también puede solicitar un subdominio DNS delegado para su laboratorio. Algo así como gavinslab.campus.edu. Realmente no es crítico si no te lo dan, pero es conveniente.

Físico

Si tiene TI del campus para reservarle un bloque de direcciones, busque una PC antigua en la que pueda colocar tres interfaces de red. No tiene que ser potente en absoluto. He enrutado el tráfico de 100 Mbit sobre un Pentium original, y gigabit sobre un Pentium III. Realmente no he probado los límites inferiores, simplemente trabajé con lo que estaba fácilmente disponible.

Si la TI del campus no puede asignarle un bloque de direcciones, simplemente obtenga un enrutador / firewall doméstico.

Luego, tome los conmutadores Gigabit Ethernet desde algún lugar. Un conmutador de oficina en casa debería ser suficiente, siempre que tenga suficientes puertos. Si tiene TI para asignar un bloque de direcciones, obtenga dos conmutadores. Etiquete un interruptor "DMZ" y el otro "Interno". Si no le asignaron un bloque de direcciones, solo obtenga un interruptor.

Enrutamiento / Cortafuegos (suponiendo que no haya bloque de red asignado)

Si no obtuvo un bloque de direcciones, simplemente conecte el enrutador doméstico con la interfaz de red externa conectada al campus y una interfaz de red interna conectada a su conmutador gigabit. Trate la sala como una red doméstica, donde puede llegar al campus y al mundo exterior sin problemas, pero el campus y el mundo exterior tendrán dificultades para comunicarse con usted.

Enrutamiento / Cortafuegos (con un bloque de red asignado)

Si obtuvo un bloque de direcciones, conecte la interfaz de red integrada de la PC anterior a la red del campus. Normalmente instalaría Debian en él.

Después, instalaría la segunda y la tercera tarjeta de red, y luego usaría mi tarball de arranque de cortafuegos para configurar el cortafuegos, DNS, DHCP y otros servicios críticos (hemos superado a ese script en una clase en la que estoy ejecutar laboratorios para, pero las pruebas y comentarios más amplios son bienvenidos). Si tiene la experiencia, siéntase libre de hacer otra cosa equivalente.

Todo lo demás (con un bloque de red asignado)

Conecte un conmutador encendido a una de las interfaces de red adicionales en el firewall. Verifique los mensajes del kernel para ver qué interfaz ethernet acaba de aparecer. Si está utilizando mi script, desea asegurarse de que el interruptor interno esté en eth1 y que el interruptor DMZ esté en eth2.

Conecte los sistemas que deben ser accesibles directamente desde el exterior de la habitación al interruptor DMZ. Conecte todos los demás sistemas al interruptor interno.

Y a partir de ahí, honestamente, tendrá que hacer más preguntas según sea necesario. Confío en mi script para configurar una configuración de DNS y DHCP que funcione para ambos segmentos de red y para bloquear conexiones externas de forma predeterminada. Pero todo lo demás tiende a ser específico del sitio.

Mike Renfro
fuente
10

En primer lugar, como un fugitivo de la academia, tienes mis sinceras condolencias. A diferencia de los comentaristas anteriores, no tengo ningún problema en creer que no tienes firewall de campus.

La forma más simple y elegante de hacer esto sería, por desgracia, tener un firewall del campus. La siguiente mejor solución, dependiendo de a quién desee tener acceso a su laboratorio, sería tener algún tipo de firewall de departamento donde todos los que necesitaban acceso estuvieran dentro de dicho firewall de departamento.

Si no puede hacer nada de eso, y me temo que no lo hará, probablemente tendrá que configurar un firewall con "permitir desde [rangos de ip del campus] / negar de todos los demás". Si desea acceder a estas máquinas desde fuera de ese firewall, probablemente tendrá que usar los números enrutables de sus campus.

Y como dijiste en tu comentario:

Gracias, así que si uso mi propio firewall, configuro cada dispositivo individual que mencioné en consecuencia (iptables en Linux), o tengo que hacer arreglos para que el tráfico que va a estos dispositivos pase a través de un dispositivo de firewall separado.

Correcto. Probablemente solo levantaría mis manos en la desesperación y usaría iptables, pero alguien más podría tener una mejor respuesta para usted.

Por último, solo quería confirmar que esto:

Cada dispositivo tiene una dirección IP asignada por la red a través de DHCP (pero me han dicho que están efectivamente vinculados a las direcciones MAC durante mucho tiempo, por lo que el dispositivo obtiene la misma IP cada vez que se enciende), y he tenido nombres de host asignados a cada dispositivo, administrados por el servidor DNS de la universidad.

significa que tiene una reserva DHCP estática. De lo contrario, el servidor DNS de la universidad tendrá que actualizarse si esos números cambian.

¡Buena suerte!

Katherine Villyard
fuente
1
Para aclarar, por lo que me han dicho varias personas, el suministro de direcciones IP de DHCP a las direcciones MAC que proporcioné no es permanente, pero el contrato de arrendamiento no caduca durante meses y meses. No sé cómo esto se relaciona con lo que están haciendo los DNS para estas mismas máquinas. 1 cosa más para aclarar. Gracias por los otros comentarios también.
Gavin Simpson
Están utilizando ese número que puede expirar en meses para DNS, por lo que es posible que las personas no puedan acceder aleatoriamente a sus diversos dispositivos en un par de meses cuando lo hayan olvidado por completo. Algo a tener en cuenta.
Katherine Villyard