Wie konfiguriere ich ein kleines Computernetzwerk in einem größeren Universitätsnetzwerk?

Ich habe ein kleines Computerlabor (8 HP Workstations, 1 HP Server, 2 NAS-Boxen, 1 HP Netzwerkdrucker), in dem derzeit alle Geräte direkt mit dem Netzwerk meiner Universität verbunden sind. Jedes Gerät verfügt über eine IP-Adresse, die vom Netzwerk über DHCP zugewiesen wird (mir wurde jedoch mitgeteilt, dass diese über einen langen Zeitraum effektiv an die MAC-Adressen gebunden sind, sodass das Gerät bei jedem Einschalten dieselbe IP-Adresse erhält) Jedem Gerät zugewiesene Hostnamen, die vom DNS-Server der Universität verwaltet werden.

Das Problem, das ich habe, ist, dass die Geräte, sobald sie mit dem Universitätsnetzwerk verbunden sind, für jeden im Internet geöffnet sind. Es gibt zum Beispiel keine campusweite Firewall. Ich möchte einige oder alle dieser Geräte vom Internet isolieren, damit ich steuern kann, auf welche Ports / Dienste auf diesen Geräten innerhalb der Universität zugegriffen werden kann (z. B. möchten meine Kollegen Daten auf dem NAS drucken oder auf dem NAS speichern / darauf zugreifen Boxen) und die von außerhalb des Universitätsnetzwerks zugänglich sind. Alle Geräte, die ich erwähne, befinden sich am selben physischen Standort (dem einen Computerraum), aber meine Workstation befindet sich in einem separaten Raum und ich möchte zur Verwaltung auf jedes der Geräte selbst zugreifen.

Auf den Workstations wird (oder wird) Scientific Linux ausgeführt. Die NAS-Boxen sind Synology-Produkte mit einem eigenen Betriebssystem.

Wie soll ich dieses Mini-Netzwerk einrichten? Wäre es sinnvoll, alle Geräte hinter einen Router zu stellen? Wenn ich das mache, ist es weiterhin möglich, über die konfigurierten Hostnamen (z. B. von meiner Workstation, die sich nicht hinter dem Router befindet) eine Verbindung zu jedem Gerät herzustellen. Wenn ja, auf was muss ich mich einrichten? das möglich machen?

Um zu verfolgen, was @KatherineVillyard gesagt hat, wenn Sie vom Campus aus auf Ihr NAS oder andere Systeme zugreifen müssen, würde ich Folgendes tun:

Campusverbindungen

Sprechen Sie mit demjenigen, der den Campus-Router verwaltet, und bitten Sie ihn, Ihnen einen Block mit 256 IP-Adressen zu reservieren, den ich ABC0 / 24 nennen werde. Die Werte von A, B und C sind spezifisch für Ihren Campus. Wenn Sie nicht 256 Adressen erhalten können, werden Sie leben, aber mindestens 16. Kleinere reservierte Blöcke ändern die 0 und die / 24 in unterschiedliche Zahlen, bis zu / 28, wenn Sie nur 16 IPs zugewiesen bekommen.

Sie müssen auch verschiedene Campus-Router konfigurieren, um Ihren reservierten Block über eine bestimmte IP-Adresse in einem anderen Netzwerkblock (wie dem, der bereits in Ihr Zimmer gelangt) weiterzuleiten.

Wenn Sie keinen Adressblock reservieren können, fällt es Ihnen schwerer, Ihr NAS vom Rest des Campus aus zugänglich zu machen, aber alles andere sollte innerhalb des Netzwerks nach außen funktionieren. Es ist sicherlich nicht unmöglich, aber es könnte den zusätzlichen Aufwand nicht wert sein. Versuchen Sie so gut wie möglich, den Adressblock zu erhalten. Möglicherweise müssen Sie mit einigen anderen Personen sprechen, wenn der erste nicht versteht, was Sie benötigen.

Wenn Sie einen Block mit reservierten Adressen haben, müssen Sie die Netzwerkadresse und die Netzmaske des Blocks sowie die externe IP-Adresse aufzeichnen, über die der Block geleitet wird. Wenn Sie keinen Block reservierter Adressen erhalten haben, werden Sie wahrscheinlich einen Heimrouter / eine Firewall verwenden, und Sie können einfach die standardmäßig verwendeten Einstellungen verwenden.

Wenn die Arbeit mit der Campus-IT wirklich einfach ist, können Sie auch eine delegierte DNS-Subdomain für Ihr Labor anfordern. So etwas wie gavinslab.campus.edu. Es ist wirklich nicht kritisch, wenn sie dir das nicht geben, aber es ist praktisch.

Körperlich

Wenn Sie von der Campus-IT einen Adressblock reservieren lassen, suchen Sie sich einen alten PC, in den Sie drei Netzwerkschnittstellen einfügen können. Er muss überhaupt nicht leistungsfähig sein. Ich habe 100-Mbit-Verkehr über einen ursprünglichen Pentium und Gigabit über einen Pentium III geleitet. Ich habe die unteren Grenzwerte wirklich nicht getestet, sondern nur mit dem gearbeitet, was leicht verfügbar war.

Wenn die Campus-IT Ihnen keinen Adressblock zuweisen konnte, besorgen Sie sich stattdessen einfach einen Heimrouter / eine Firewall.

Dann schnappen Sie sich Gigabit-Ethernet-Switches von irgendwoher. Ein Home-Office-Switch sollte ausreichend sein, solange er über genügend Ports verfügt. Wenn die IT einen Adressblock zuweisen muss, erhalten Sie zwei Switches. Beschriften Sie einen Schalter mit "DMZ" und den anderen mit "Intern". Wenn sie Ihnen keinen Adressblock zugewiesen haben, erhalten Sie nur einen Schalter.

Routing / Firewalling (vorausgesetzt, kein Netzwerkblock zugewiesen)

Wenn Sie keinen Adressblock erhalten haben, schließen Sie den Heimrouter einfach mit der an den Campus angeschlossenen externen Netzwerkschnittstelle und einer an Ihren Gigabit-Switch angeschlossenen internen Netzwerkschnittstelle an. Behandeln Sie den Raum wie ein Heimnetzwerk, in dem Sie problemlos zum Campus und zur Außenwelt gelangen können, aber der Campus und die Außenwelt werden es schwer haben, zu Ihnen zurückzukehren.

Routing / Firewalling (mit einem zugewiesenen Netzwerkblock)

Wenn Sie einen Adressblock erhalten haben, schließen Sie die integrierte Netzwerkschnittstelle des alten PCs an das Campus-Netzwerk an. Normalerweise würde ich Debian darauf installieren.

Danach würde ich die zweite und dritte Netzwerkkarte installieren und dann meinen Firewall-Bootstrap- Tarball verwenden, um Firewall, DNS, DHCP und andere kritische Dienste zu konfigurieren (wir haben den Mist aus diesem Skript in einer Klasse geschlagen, die ich bin Laufende Labore für, aber umfassendere Tests und Rückmeldungen sind willkommen. Wenn Sie die Erfahrung haben, können Sie auch etwas anderes tun.

Alles andere (mit einem zugewiesenen Netzwerkblock)

Stecken Sie einen eingeschalteten Switch in eine der zusätzlichen Netzwerkschnittstellen in der Firewall. Überprüfen Sie die Kernel-Nachrichten, um festzustellen, welche Ethernet-Schnittstelle gerade aufgerufen wurde. Wenn Sie mein Skript verwenden, möchten Sie sicherstellen, dass der interne Schalter auf eth1 und der DMZ-Schalter auf eth2 steht.

Stecken Sie Systeme, die von außerhalb des Raums direkt zugänglich sein müssen, in den DMZ-Schalter. Stecken Sie alle anderen Systeme in den internen Schalter.

Und von dort aus müssen Sie ehrlich gesagt nach Bedarf weitere Fragen stellen. Ich vertraue darauf, dass mein Skript ein funktionierendes DNS- und DHCP-Setup für beide Netzwerksegmente einrichtet und standardmäßig externe Verbindungen blockiert. Aber alles andere ist in der Regel ortsspezifisch.

Als Flüchtling aus der Wissenschaft haben Sie zunächst mein aufrichtiges Beileid. Im Gegensatz zu den obigen Kommentatoren habe ich keinerlei Probleme damit, zu glauben, dass Sie keine Campus-Firewall haben.

Der einfachste und eleganteste Weg, dies zu tun, wäre leider eine Campus-Firewall. Die nächstbeste Lösung, je nachdem, auf wen Sie Zugriff auf Ihr Labor haben möchten, wäre eine Art Abteilungsfirewall, in der sich jeder, der Zugriff benötigt, innerhalb dieser Abteilungsfirewall befindet.

Wenn Sie beides nicht können - und ich fürchte, Sie werden es nicht tun -, müssen Sie wahrscheinlich eine Firewall mit "Von [Campus-IP-Bereichen zulassen] / Von allen anderen verweigern" konfigurieren. Wenn Sie von außerhalb dieser Firewall auf diese Computer zugreifen möchten, müssen Sie wahrscheinlich die routingfähigen Nummern Ihres Campus verwenden.

Und wie Sie in Ihrem Kommentar gesagt haben:

Vielen Dank. Wenn ich also meine eigene Firewall verwende, konfiguriere ich entweder jedes einzelne Gerät, das ich erwähnt habe, entsprechend (iptables unter Linux), oder ich muss dafür sorgen, dass der Datenverkehr zu diesen Geräten über ein separates Firewall-Gerät geleitet wird.

Richtig. Ich würde wahrscheinlich nur verzweifelt meine Hände hochwerfen und iptables verwenden, aber jemand anderes könnte eine bessere Antwort für Sie haben.

Zuletzt wollte ich nur bestätigen, dass dies:

Jedes Gerät verfügt über eine IP-Adresse, die vom Netzwerk über DHCP zugewiesen wird (mir wurde jedoch mitgeteilt, dass diese über einen langen Zeitraum effektiv an die MAC-Adressen gebunden sind, sodass das Gerät bei jedem Einschalten dieselbe IP-Adresse erhält) Jedem Gerät zugewiesene Hostnamen, die vom DNS-Server der Universität verwaltet werden.

bedeutet, dass Sie eine statische DHCP-Reservierung haben. Andernfalls muss der DNS-Server der Universität aktualisiert werden, wenn sich diese Nummern ändern.

Viel Glück!