Gav*_*son 8 networking firewall
我有一个小型计算机实验室(8 个 HP 工作站、1 个 HP 服务器、2 个 NAS 盒、1 个 HP 网络打印机),目前所有设备都直接连接到我大学的网络。每个设备都有一个由网络通过 DHCP 分配的 IP 地址(但我被告知这些 IP 地址长期有效绑定到 MAC 地址,因此设备每次启动时都会获得相同的 IP),并且我有分配给每个设备的主机名,由大学的 DNS 服务器管理。
我遇到的问题是,一旦连接到大学网络,这些设备就对互联网上的任何人开放;例如,没有校园范围的防火墙。我想将这些设备中的部分或全部与互联网隔离,以便我可以控制这些设备上的哪些端口/服务可以从大学内部访问(例如,我的同事想要打印,或在 NAS 上存储数据/访问数据)框)并且可以从大学网络之外访问。我提到的所有设备都在同一个物理位置(一个计算机房),但我的工作站在一个单独的房间里,我想自己访问每个设备进行管理。
这些工作站都(或将要)运行 Scientific Linux。NAS 盒是运行自己操作系统的 Synology 产品。
我应该如何设置这个迷你网络?将所有设备放在路由器后面是否有意义?如果我这样做,是否仍然可以通过已配置的主机名连接到每个设备(比如从我的工作站,它不会在路由器后面),如果是,我需要设置什么做到这一点?
Kat*_*ard 10
首先,作为学术界的逃亡者,我对你表示诚挚的慰问。与上面的评论者不同,我相信您没有校园防火墙,这完全没有问题。
最简单、最优雅的方法就是拥有校园防火墙。下一个最佳解决方案,取决于您希望谁可以访问您的实验室,是拥有某种部门防火墙,其中需要访问的每个人都在所述部门防火墙内。
如果您不能执行其中任何一项——而且我担心您不会——您可能将不得不使用“允许来自 [校园 ip 范围]/拒绝其他所有人”的方式配置防火墙。如果您想从防火墙之外访问这些机器,您可能必须使用校园的可路由号码。
正如您在评论中所说:
谢谢,所以如果我使用我自己的防火墙,我要么相应地配置我提到的每个单独的设备(Linux 上的 iptables),要么我必须安排去这些设备的流量通过一个单独的防火墙设备。
正确的。我可能会绝望地举起双手并使用 iptables,但其他人可能会为您提供更好的答案。
最后,我只是想确认一下:
每个设备都有一个由网络通过 DHCP 分配的 IP 地址(但我被告知这些 IP 地址长期有效绑定到 MAC 地址,因此设备每次启动时都会获得相同的 IP),并且我有分配给每个设备的主机名,由大学的 DNS 服务器管理。
意味着您有静态 DHCP 保留。否则,如果这些数字发生变化,大学的 DNS 服务器将不得不更新。
祝你好运!
为了跟进@KatherineVillyard 所说的,如果您需要从校园访问 NAS 或其他系统,我会这样做:
校园联系
与管理校园路由器的人交谈,并要求他们为您保留 256 个 IP 地址块,我将其称为 ABC0/24。A、B 和 C 的值特定于您的校园。如果您无法获得 256 个地址,您将继续存在,但至少可以获得 16 个。较小的保留块会将 0 和 /24 更改为不同的数字,如果您仅获得 16 个分配的 IP,则将更改为 /28。
他们还需要配置各种校园路由器,以通过不同网络块(例如已经到达您房间的那个)中的特定 IP 地址来路由您的保留块。
如果您无法获得保留的地址块,您将很难从校园的其他地方访问您的 NAS,但从网络内部到外部世界的其他一切都应该正常工作。这当然不是不可能,但可能不值得付出额外的努力。尽可能努力地获取地址块——如果第一个不明白您需要什么,您可能需要与几个不同的人交谈。
如果您有一个保留地址块,则需要记录该块的网络地址和网络掩码,以及该块将通过的外部 IP。如果您没有获得保留地址块,您可能最终会使用家庭路由器/防火墙,并且您可以使用默认情况下的任何设置。
如果校园 IT 真的很容易使用,您也可以为您的实验室申请一个委派的 DNS 子域。像gavinslab.campus.edu这样的东西。如果他们不给你这个真的不重要,但它很方便。
身体的
如果您让校园 IT 为您保留一个地址块,请找一台可以放置三个网络接口的旧 PC。它根本不需要功能强大。我已经通过原始 Pentium 路由了 100 Mbit 流量,并通过 Pentium III 路由了千兆流量。我真的没有测试过下限,只是使用了任何容易获得的东西。
如果校园 IT 无法为您分配地址块,只需使用家庭路由器/防火墙即可。
然后,从某个地方获取千兆以太网交换机。家庭办公室交换机应该足够了,只要它有足够的端口。如果您让 IT 分配地址块,请使用两个交换机。将一台交换机标记为“DMZ”,将另一台标记为“内部”。如果他们没有为您分配地址块,则只能获得一个交换机。
路由/防火墙(假设没有分配网络块)
如果您没有获得地址块,只需将家庭路由器与插入校园的外部网络接口连接起来,并将一个内部网络接口插入您的千兆交换机。把房间当作家庭网络,你可以毫无问题地到达校园和外面的世界,但校园和外面的世界很难回到你身边。
路由/防火墙(具有分配的网络块)
如果您确实获得了地址块,则将旧 PC 的板载网络接口连接到校园网络。我通常会在其上安装 Debian。
之后,我将安装第二个和第三个网卡,然后使用我的防火墙引导程序tarball 来配置防火墙、DNS、DHCP 和其他关键服务(我们已经在我正在学习的课程中击败了该脚本的废话运行实验室,但欢迎更广泛的测试和反馈)。如果您有经验,请随时做其他等效的事情。
其他一切(具有分配的网络块)
将一个通电的交换机插入防火墙中的其他网络接口之一。检查内核消息以查看刚刚出现的以太网接口。如果您使用我的脚本,您需要确保内部交换机在 eth1 上,而 DMZ 交换机在 eth2 上。
将需要从房间外直接接入到 DMZ 交换机的系统。将所有其他系统插入内部交换机。
从那里开始,老实说,您将需要根据需要提出更多问题。我相信我的脚本可以为两个网段设置有效的 DNS 和 DHCP 设置,并在默认情况下阻止外部连接。但其他一切往往是特定于站点的。
| 归档时间: |
|
| 查看次数: |
710 次 |
| 最近记录: |