Tengo un pequeño laboratorio de computación (8 estaciones de trabajo HP, 1 servidor HP, 2 cajas NAS, 1 impresora en red HP) donde actualmente todos los dispositivos están conectados directamente a la red de mi universidad. Cada dispositivo tiene una dirección IP asignada por la red a través de DHCP (pero me han dicho que están efectivamente vinculados a las direcciones MAC durante mucho tiempo, por lo que el dispositivo obtiene la misma IP cada vez que se enciende), y he tenido nombres de host asignados a cada dispositivo, administrados por el servidor DNS de la universidad.
El problema que tengo es que una vez conectado a la red de la universidad, los dispositivos están abiertos a cualquier persona en Internet; no hay firewall en todo el campus, por ejemplo. Me gustaría aislar algunos o todos estos dispositivos de Internet para poder controlar qué puertos / servicios en estos dispositivos son accesibles desde la universidad (por ejemplo, mis colegas quieren imprimir o almacenar datos en / acceder a datos desde el NAS cajas) y que son accesibles desde más allá de la red universitaria. Todos los dispositivos que menciono están en la misma ubicación física (la sala de una computadora), pero mi estación de trabajo está en una sala separada y quiero acceder a cada uno de los dispositivos para la administración.
Todas las estaciones de trabajo están (o estarán) ejecutando Scientific Linux. Las cajas NAS son productos Synology que ejecutan su propio sistema operativo.
¿Cómo debo hacer para configurar esta mini red? ¿Tendría sentido poner todos los dispositivos detrás de un enrutador? Si hago eso, ¿será posible conectarme a cada dispositivo con los nombres de host que se han configurado (por ejemplo, desde mi estación de trabajo que no estará detrás del enrutador), y si es así, ¿qué necesito configurar? hacer que eso suceda?
fuente
Respuestas:
Para seguir lo que dijo @KatherineVillyard, si necesita acceder a su NAS u otros sistemas desde el campus en general, esto es lo que haría:
Conexiones del campus
Hable con quien administra el enrutador del campus y pídales que le reserven un bloque de 256 direcciones IP, lo que llamaré ABC0 / 24. Los valores de A, B y C son específicos de su campus. Si no puede obtener 256 direcciones, vivirá, pero obtendrá al menos 16. Los bloques reservados más pequeños cambiarán el 0 y el / 24 a diferentes números, hasta / 28 si solo obtiene 16 IP asignadas.
También deberán configurar varios enrutadores del campus para enrutar su bloque reservado a través de una dirección IP específica en un bloque de red diferente (como el que ya llega a su habitación).
Si no puede reservar un bloque de direcciones, le resultará más difícil hacer que su NAS sea accesible desde el resto del campus, pero todo lo demás debería funcionar bien desde dentro de la red hasta el mundo exterior. Ciertamente no es imposible, pero puede que no valga la pena el esfuerzo extra. Intente lo más que pueda para obtener el bloque de direcciones; es posible que deba hablar con algunas personas diferentes si la primera no comprende lo que necesita.
Si tiene un bloque de direcciones reservadas, debe registrar la dirección de red y la máscara de red del bloque, y también la IP externa a través de la cual se enrutará el bloque. Si no obtuvo un bloque de direcciones reservadas, probablemente terminará usando un enrutador / firewall doméstico, y puede usar cualquier configuración que tenga de forma predeterminada.
Si es realmente fácil trabajar con la TI del campus, también puede solicitar un subdominio DNS delegado para su laboratorio. Algo así como gavinslab.campus.edu. Realmente no es crítico si no te lo dan, pero es conveniente.
Físico
Si tiene TI del campus para reservarle un bloque de direcciones, busque una PC antigua en la que pueda colocar tres interfaces de red. No tiene que ser potente en absoluto. He enrutado el tráfico de 100 Mbit sobre un Pentium original, y gigabit sobre un Pentium III. Realmente no he probado los límites inferiores, simplemente trabajé con lo que estaba fácilmente disponible.
Si la TI del campus no puede asignarle un bloque de direcciones, simplemente obtenga un enrutador / firewall doméstico.
Luego, tome los conmutadores Gigabit Ethernet desde algún lugar. Un conmutador de oficina en casa debería ser suficiente, siempre que tenga suficientes puertos. Si tiene TI para asignar un bloque de direcciones, obtenga dos conmutadores. Etiquete un interruptor "DMZ" y el otro "Interno". Si no le asignaron un bloque de direcciones, solo obtenga un interruptor.
Enrutamiento / Cortafuegos (suponiendo que no haya bloque de red asignado)
Si no obtuvo un bloque de direcciones, simplemente conecte el enrutador doméstico con la interfaz de red externa conectada al campus y una interfaz de red interna conectada a su conmutador gigabit. Trate la sala como una red doméstica, donde puede llegar al campus y al mundo exterior sin problemas, pero el campus y el mundo exterior tendrán dificultades para comunicarse con usted.
Enrutamiento / Cortafuegos (con un bloque de red asignado)
Si obtuvo un bloque de direcciones, conecte la interfaz de red integrada de la PC anterior a la red del campus. Normalmente instalaría Debian en él.
Después, instalaría la segunda y la tercera tarjeta de red, y luego usaría mi tarball de arranque de cortafuegos para configurar el cortafuegos, DNS, DHCP y otros servicios críticos (hemos superado a ese script en una clase en la que estoy ejecutar laboratorios para, pero las pruebas y comentarios más amplios son bienvenidos). Si tiene la experiencia, siéntase libre de hacer otra cosa equivalente.
Todo lo demás (con un bloque de red asignado)
Conecte un conmutador encendido a una de las interfaces de red adicionales en el firewall. Verifique los mensajes del kernel para ver qué interfaz ethernet acaba de aparecer. Si está utilizando mi script, desea asegurarse de que el interruptor interno esté en eth1 y que el interruptor DMZ esté en eth2.
Conecte los sistemas que deben ser accesibles directamente desde el exterior de la habitación al interruptor DMZ. Conecte todos los demás sistemas al interruptor interno.
Y a partir de ahí, honestamente, tendrá que hacer más preguntas según sea necesario. Confío en mi script para configurar una configuración de DNS y DHCP que funcione para ambos segmentos de red y para bloquear conexiones externas de forma predeterminada. Pero todo lo demás tiende a ser específico del sitio.
fuente
En primer lugar, como un fugitivo de la academia, tienes mis sinceras condolencias. A diferencia de los comentaristas anteriores, no tengo ningún problema en creer que no tienes firewall de campus.
La forma más simple y elegante de hacer esto sería, por desgracia, tener un firewall del campus. La siguiente mejor solución, dependiendo de a quién desee tener acceso a su laboratorio, sería tener algún tipo de firewall de departamento donde todos los que necesitaban acceso estuvieran dentro de dicho firewall de departamento.
Si no puede hacer nada de eso, y me temo que no lo hará, probablemente tendrá que configurar un firewall con "permitir desde [rangos de ip del campus] / negar de todos los demás". Si desea acceder a estas máquinas desde fuera de ese firewall, probablemente tendrá que usar los números enrutables de sus campus.
Y como dijiste en tu comentario:
Correcto. Probablemente solo levantaría mis manos en la desesperación y usaría iptables, pero alguien más podría tener una mejor respuesta para usted.
Por último, solo quería confirmar que esto:
significa que tiene una reserva DHCP estática. De lo contrario, el servidor DNS de la universidad tendrá que actualizarse si esos números cambian.
¡Buena suerte!
fuente