J'ai un petit laboratoire informatique (8 postes de travail HP, 1 serveur HP, 2 boîtiers NAS, 1 imprimante réseau HP) où actuellement tous les appareils sont connectés directement au réseau de mon université. Chaque appareil a une adresse IP allouée par le réseau via DHCP (mais on me dit que celles-ci sont effectivement liées aux adresses MAC depuis longtemps, donc l'appareil obtient la même IP à chaque mise sous tension), et j'ai eu les noms d'hôtes attribués à chaque appareil, gérés par le serveur DNS de l'université.
Le problème que j'ai est qu'une fois connecté au réseau universitaire, les appareils sont ouverts à tous sur Internet; il n'y a pas de pare-feu à l'échelle du campus par exemple. Je voudrais isoler certains ou tous ces appareils d'Internet pour pouvoir contrôler quels ports / services sur ces appareils sont accessibles depuis l'université (par exemple mes collègues veulent imprimer ou stocker des données sur / accéder aux données du NAS et accessibles depuis l’extérieur du réseau universitaire. Tous les appareils que je mentionne se trouvent dans le même emplacement physique (la seule salle informatique), mais mon poste de travail se trouve dans une pièce distincte et je souhaite accéder à chacun des appareils moi-même pour l'administration.
Les postes de travail fonctionnent tous (ou fonctionneront) sous Scientific Linux. Les boîtiers NAS sont des produits Synology exécutant leur propre système d'exploitation.
Comment dois-je procéder pour configurer ce mini-réseau? Serait-il judicieux de mettre tous les appareils derrière un routeur? Si je le fais, sera-t-il toujours possible de se connecter à chaque appareil par les noms d'hôtes qui ont été configurés (disons à partir de mon poste de travail qui ne sera pas derrière le routeur), et si c'est le cas, que dois-je configurer pour rendre cela possible?
la source
Réponses:
Pour suivre ce que @KatherineVillyard a dit, si vous avez besoin d'accéder à votre NAS ou à d'autres systèmes depuis le campus en général, voici ce que je ferais:
Connexions campus
Parlez à celui qui gère le routeur du campus et demandez-lui de vous réserver un bloc de 256 adresses IP, que j'appellerai ABC0 / 24. Les valeurs de A, B et C sont spécifiques à votre campus. Si vous ne pouvez pas obtenir 256 adresses, vous vivrez, mais obtenez au moins 16. Des blocs réservés plus petits changeront le 0 et le / 24 en nombres différents, jusqu'à / 28 si vous n'obtenez que 16 IP allouées.
Ils devront également configurer divers routeurs de campus pour acheminer votre bloc réservé via une adresse IP spécifique dans un bloc de réseau différent (comme celui qui atteint déjà votre chambre).
Si vous ne pouvez pas obtenir un bloc d'adresses réservé, vous aurez plus de mal à rendre votre NAS accessible depuis le reste du campus, mais tout le reste devrait fonctionner correctement de l'intérieur du réseau vers le monde extérieur. Ce n'est certainement pas impossible, mais cela ne vaut peut-être pas l'effort supplémentaire. Essayez aussi fort que possible d'obtenir le bloc d'adresses - vous devrez peut-être parler à quelques personnes différentes si la première ne comprend pas ce dont vous avez besoin.
Si vous avez un bloc d'adresses réservées, vous devez enregistrer l'adresse réseau et le masque de réseau du bloc, ainsi que l'adresse IP externe par laquelle le bloc sera acheminé. Si vous n'avez pas obtenu un bloc d'adresses réservées, vous allez probablement finir par utiliser un routeur / pare-feu domestique et vous pouvez simplement utiliser les paramètres qu'il possède par défaut.
Si l'informatique du campus est vraiment facile à utiliser, vous pouvez également demander un sous-domaine DNS délégué pour votre laboratoire. Quelque chose comme gavinslab.campus.edu. Ce n'est vraiment pas critique s'ils ne vous le donnent pas, mais c'est pratique.
Physique
Si vous avez obtenu que l'informatique du campus vous réserve un bloc d'adresses, trouvez un ancien PC dans lequel vous pouvez insérer trois interfaces réseau. Il n'a pas du tout besoin d'être puissant. J'ai acheminé du trafic à 100 Mbit sur un Pentium d'origine et gigabit sur un Pentium III. Je n'ai vraiment pas testé les limites inférieures, j'ai simplement travaillé avec tout ce qui était facilement disponible.
Si le service informatique du campus ne peut pas vous attribuer un bloc d'adresses, procurez-vous simplement un routeur / pare-feu domestique à la place.
Ensuite, récupérez des commutateurs Ethernet gigabit quelque part. Un commutateur de bureau à domicile devrait être suffisant, tant qu'il a suffisamment de ports. Si vous avez obtenu que l'informatique alloue un bloc d'adresses, obtenez deux commutateurs. Nommez un commutateur «DMZ» et l'autre «Interne». S'ils ne vous ont pas alloué de bloc d'adresses, obtenez un seul commutateur.
Routage / pare-feu (en supposant qu'aucun bloc réseau alloué)
Si vous n'avez pas obtenu de bloc d'adresses, connectez simplement le routeur domestique avec l'interface réseau externe connectée au campus et une interface réseau interne connectée à votre commutateur gigabit. Traitez la pièce comme un réseau domestique, où vous pouvez accéder au campus et au monde extérieur sans problème, mais le campus et le monde extérieur auront du mal à vous recontacter.
Routage / pare-feu (avec un bloc réseau alloué)
Si vous avez obtenu un bloc d'adresses, connectez l'interface réseau intégrée de l'ancien PC au réseau du campus. J'installerais normalement Debian dessus.
Ensuite, j'installe les deuxième et troisième cartes réseau, puis j'utilise mon tarball pare-feu-amorçage pour configurer le pare-feu, DNS, DHCP et d'autres services critiques (nous avons battu le bordel de ce script dans une classe que je suis exécution de laboratoires, mais des tests et des commentaires plus larges sont les bienvenus). Si vous avez l'expérience, n'hésitez pas à faire autre chose d'équivalent.
Tout le reste (avec un bloc réseau alloué)
Branchez un commutateur sous tension dans l'une des interfaces réseau supplémentaires du pare-feu. Vérifiez les messages du noyau pour voir quelle interface Ethernet vient d'apparaître. Si vous utilisez mon script, vous voulez vous assurer que le commutateur interne est sur eth1 et que le commutateur DMZ est sur eth2.
Branchez les systèmes qui doivent être directement accessibles depuis l'extérieur de la pièce sur le commutateur DMZ. Branchez tous les autres systèmes sur le commutateur interne.
Et à partir de là, honnêtement, vous devrez poser plus de questions au besoin. Je fais confiance à mon script pour configurer une configuration DNS et DHCP fonctionnelle pour les deux segments de réseau et pour bloquer les connexions externes par défaut. Mais tout le reste a tendance à être spécifique au site.
la source
Tout d'abord, en tant qu'évadé du monde universitaire, vous avez mes sincères condoléances. Contrairement aux commentateurs ci-dessus, je n'ai aucun problème à croire que vous n'avez pas de pare-feu sur le campus.
La façon la plus simple et la plus élégante de le faire serait, hélas, d'avoir un pare-feu sur le campus. La prochaine meilleure solution, selon la personne à qui vous souhaitez accéder à votre laboratoire, serait d'avoir une sorte de pare-feu de département où toutes les personnes ayant besoin d'un accès se trouveraient à l'intérieur dudit pare-feu de département.
Si vous ne pouvez pas faire l'un ou l'autre - et je crains que vous ne le fassiez pas - vous devrez probablement configurer un pare-feu avec "autoriser à partir des [plages IP du campus] / refuser à tout le monde". Si vous souhaitez accéder à ces machines depuis l'extérieur de ce pare-feu, vous devrez probablement utiliser les numéros routables de vos campus.
Et comme vous l'avez dit dans votre commentaire:
Correct. Je lèverais probablement les mains de désespoir et utiliserais iptables, mais quelqu'un d'autre pourrait avoir une meilleure réponse pour vous.
Enfin, je voulais juste confirmer que ceci:
signifie que vous avez une réservation DHCP statique. Sinon, le serveur DNS de l'université devra être mis à jour si ces numéros changent.
Bonne chance!
la source