Comment configurer un petit réseau d'ordinateurs au sein d'un plus grand réseau universitaire?

8

J'ai un petit laboratoire informatique (8 postes de travail HP, 1 serveur HP, 2 boîtiers NAS, 1 imprimante réseau HP) où actuellement tous les appareils sont connectés directement au réseau de mon université. Chaque appareil a une adresse IP allouée par le réseau via DHCP (mais on me dit que celles-ci sont effectivement liées aux adresses MAC depuis longtemps, donc l'appareil obtient la même IP à chaque mise sous tension), et j'ai eu les noms d'hôtes attribués à chaque appareil, gérés par le serveur DNS de l'université.

Le problème que j'ai est qu'une fois connecté au réseau universitaire, les appareils sont ouverts à tous sur Internet; il n'y a pas de pare-feu à l'échelle du campus par exemple. Je voudrais isoler certains ou tous ces appareils d'Internet pour pouvoir contrôler quels ports / services sur ces appareils sont accessibles depuis l'université (par exemple mes collègues veulent imprimer ou stocker des données sur / accéder aux données du NAS et accessibles depuis l’extérieur du réseau universitaire. Tous les appareils que je mentionne se trouvent dans le même emplacement physique (la seule salle informatique), mais mon poste de travail se trouve dans une pièce distincte et je souhaite accéder à chacun des appareils moi-même pour l'administration.

Les postes de travail fonctionnent tous (ou fonctionneront) sous Scientific Linux. Les boîtiers NAS sont des produits Synology exécutant leur propre système d'exploitation.

Comment dois-je procéder pour configurer ce mini-réseau? Serait-il judicieux de mettre tous les appareils derrière un routeur? Si je le fais, sera-t-il toujours possible de se connecter à chaque appareil par les noms d'hôtes qui ont été configurés (disons à partir de mon poste de travail qui ne sera pas derrière le routeur), et si c'est le cas, que dois-je configurer pour rendre cela possible?

networking  firewall 
Gavin Simpson
source
4
"il n'y a pas de pare-feu à l'échelle du campus" - je trouve cela très, très difficile à croire. L'avez-vous confirmé auprès du personnel informatique de l'université?
joeqwerty
6
Cette question semble être hors sujet car elle doit être posée au personnel informatique de votre université.
EEAA
2
Demandez-leur ensuite un pare-feu. Ce sera amusant pour eux, car c'est la première fois qu'ils en utilisent un, et tout.
mfinni
3
Quelqu'un pourrait-il expliquer pourquoi c'est OT ou ce que je dois faire pour le faire sur le sujet? Comme je l' ai répondu à @EEAA plus tôt, je l' ai abordé cette question à mon université support informatique et ce qui précède est le « conseil » J'ai fournies. C'est à moi d'utiliser ce conseil. Comme le suggère la réponse ci-dessous, le support informatique de nombreuses institutions académiques n'est pas en mesure de fournir une aide individuelle pour diverses raisons, souvent financières. Par conséquent, nous sommes livrés à nous-mêmes. Je serai heureux d'améliorer le Q si je le peux, mais jusqu'à présent, personne n'a dit ce qui ne va pas, à part la présomption que je n'avais pas demandé de support informatique.
Gavin Simpson
4
Oui, un routeur est également souvent capable de pare-feu, et vice versa, donc les termes sont parfois utilisés de manière interchangeable. Cela pourrait être quelque chose d'un reconfiguré routeur à domicile 20 $ (mais vous une faveur et ne vont pas tout à fait ce pas cher) à 15 000 $ Cisco ou quelque chose d' autre-. Ou 150 000 $. C'est probablement quelque part autour d'un Cisco ASA 55xx que vous voudrez être. Quoi que vous obteniez, n'oubliez pas de désactiver NAT.
Michael Hampton

Réponses:

5

Pour suivre ce que @KatherineVillyard a dit, si vous avez besoin d'accéder à votre NAS ou à d'autres systèmes depuis le campus en général, voici ce que je ferais:

Connexions campus

Parlez à celui qui gère le routeur du campus et demandez-lui de vous réserver un bloc de 256 adresses IP, que j'appellerai ABC0 / 24. Les valeurs de A, B et C sont spécifiques à votre campus. Si vous ne pouvez pas obtenir 256 adresses, vous vivrez, mais obtenez au moins 16. Des blocs réservés plus petits changeront le 0 et le / 24 en nombres différents, jusqu'à / 28 si vous n'obtenez que 16 IP allouées.

Ils devront également configurer divers routeurs de campus pour acheminer votre bloc réservé via une adresse IP spécifique dans un bloc de réseau différent (comme celui qui atteint déjà votre chambre).

Si vous ne pouvez pas obtenir un bloc d'adresses réservé, vous aurez plus de mal à rendre votre NAS accessible depuis le reste du campus, mais tout le reste devrait fonctionner correctement de l'intérieur du réseau vers le monde extérieur. Ce n'est certainement pas impossible, mais cela ne vaut peut-être pas l'effort supplémentaire. Essayez aussi fort que possible d'obtenir le bloc d'adresses - vous devrez peut-être parler à quelques personnes différentes si la première ne comprend pas ce dont vous avez besoin.

Si vous avez un bloc d'adresses réservées, vous devez enregistrer l'adresse réseau et le masque de réseau du bloc, ainsi que l'adresse IP externe par laquelle le bloc sera acheminé. Si vous n'avez pas obtenu un bloc d'adresses réservées, vous allez probablement finir par utiliser un routeur / pare-feu domestique et vous pouvez simplement utiliser les paramètres qu'il possède par défaut.

Si l'informatique du campus est vraiment facile à utiliser, vous pouvez également demander un sous-domaine DNS délégué pour votre laboratoire. Quelque chose comme gavinslab.campus.edu. Ce n'est vraiment pas critique s'ils ne vous le donnent pas, mais c'est pratique.

Physique

Si vous avez obtenu que l'informatique du campus vous réserve un bloc d'adresses, trouvez un ancien PC dans lequel vous pouvez insérer trois interfaces réseau. Il n'a pas du tout besoin d'être puissant. J'ai acheminé du trafic à 100 Mbit sur un Pentium d'origine et gigabit sur un Pentium III. Je n'ai vraiment pas testé les limites inférieures, j'ai simplement travaillé avec tout ce qui était facilement disponible.

Si le service informatique du campus ne peut pas vous attribuer un bloc d'adresses, procurez-vous simplement un routeur / pare-feu domestique à la place.

Ensuite, récupérez des commutateurs Ethernet gigabit quelque part. Un commutateur de bureau à domicile devrait être suffisant, tant qu'il a suffisamment de ports. Si vous avez obtenu que l'informatique alloue un bloc d'adresses, obtenez deux commutateurs. Nommez un commutateur «DMZ» et l'autre «Interne». S'ils ne vous ont pas alloué de bloc d'adresses, obtenez un seul commutateur.

Routage / pare-feu (en supposant qu'aucun bloc réseau alloué)

Si vous n'avez pas obtenu de bloc d'adresses, connectez simplement le routeur domestique avec l'interface réseau externe connectée au campus et une interface réseau interne connectée à votre commutateur gigabit. Traitez la pièce comme un réseau domestique, où vous pouvez accéder au campus et au monde extérieur sans problème, mais le campus et le monde extérieur auront du mal à vous recontacter.

Routage / pare-feu (avec un bloc réseau alloué)

Si vous avez obtenu un bloc d'adresses, connectez l'interface réseau intégrée de l'ancien PC au réseau du campus. J'installerais normalement Debian dessus.

Ensuite, j'installe les deuxième et troisième cartes réseau, puis j'utilise mon tarball pare-feu-amorçage pour configurer le pare-feu, DNS, DHCP et d'autres services critiques (nous avons battu le bordel de ce script dans une classe que je suis exécution de laboratoires, mais des tests et des commentaires plus larges sont les bienvenus). Si vous avez l'expérience, n'hésitez pas à faire autre chose d'équivalent.

Tout le reste (avec un bloc réseau alloué)

Branchez un commutateur sous tension dans l'une des interfaces réseau supplémentaires du pare-feu. Vérifiez les messages du noyau pour voir quelle interface Ethernet vient d'apparaître. Si vous utilisez mon script, vous voulez vous assurer que le commutateur interne est sur eth1 et que le commutateur DMZ est sur eth2.

Branchez les systèmes qui doivent être directement accessibles depuis l'extérieur de la pièce sur le commutateur DMZ. Branchez tous les autres systèmes sur le commutateur interne.

Et à partir de là, honnêtement, vous devrez poser plus de questions au besoin. Je fais confiance à mon script pour configurer une configuration DNS et DHCP fonctionnelle pour les deux segments de réseau et pour bloquer les connexions externes par défaut. Mais tout le reste a tendance à être spécifique au site.

Mike Renfro
source
10

Tout d'abord, en tant qu'évadé du monde universitaire, vous avez mes sincères condoléances. Contrairement aux commentateurs ci-dessus, je n'ai aucun problème à croire que vous n'avez pas de pare-feu sur le campus.

La façon la plus simple et la plus élégante de le faire serait, hélas, d'avoir un pare-feu sur le campus. La prochaine meilleure solution, selon la personne à qui vous souhaitez accéder à votre laboratoire, serait d'avoir une sorte de pare-feu de département où toutes les personnes ayant besoin d'un accès se trouveraient à l'intérieur dudit pare-feu de département.

Si vous ne pouvez pas faire l'un ou l'autre - et je crains que vous ne le fassiez pas - vous devrez probablement configurer un pare-feu avec "autoriser à partir des [plages IP du campus] / refuser à tout le monde". Si vous souhaitez accéder à ces machines depuis l'extérieur de ce pare-feu, vous devrez probablement utiliser les numéros routables de vos campus.

Et comme vous l'avez dit dans votre commentaire:

Merci, donc si j'utilise mon propre pare-feu, je configure chaque appareil individuel que j'ai mentionné en conséquence (iptables sur Linux), ou je dois faire en sorte que le trafic allant vers ces appareils passe par un périphérique de pare-feu séparé.

Correct. Je lèverais probablement les mains de désespoir et utiliserais iptables, mais quelqu'un d'autre pourrait avoir une meilleure réponse pour vous.

Enfin, je voulais juste confirmer que ceci:

Chaque appareil a une adresse IP allouée par le réseau via DHCP (mais on me dit que celles-ci sont effectivement liées aux adresses MAC depuis longtemps, donc l'appareil obtient la même IP à chaque mise sous tension), et j'ai eu les noms d'hôtes attribués à chaque appareil, gérés par le serveur DNS de l'université.

signifie que vous avez une réservation DHCP statique. Sinon, le serveur DNS de l'université devra être mis à jour si ces numéros changent.

Bonne chance!

Katherine Villyard
source
1
Pour clarifier, d'après ce que plusieurs personnes m'ont dit, la fourniture DHCP d'adresses IP aux adresses MAC que j'ai fournies n'est pas permanente, mais le bail n'expire pas pendant des mois et des mois. Comment cela se rapporte à ce qu'ils font le DNS pour ces mêmes machines, je ne sais pas. Encore une chose à clarifier. Merci aussi pour les autres commentaires.
Gavin Simpson
Ils utilisent ce numéro qui peut expirer dans des mois pour DNS, il est donc possible que les gens ne puissent pas aléatoirement accéder à vos différents appareils dans quelques mois lorsque vous aurez tout oublié. Quelque chose à garder à l'esprit.
Katherine Villyard
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.