Bagaimana cara mengkonfigurasi jaringan kecil komputer dalam jaringan universitas yang lebih besar?

8

Saya memiliki laboratorium komputer kecil (8 workstation HP, 1 server HP, 2 kotak NAS, 1 printer jaringan HP) di mana saat ini semua perangkat terhubung langsung ke jaringan universitas saya. Setiap perangkat memiliki alamat IP yang dialokasikan oleh jaringan melalui DHCP (tapi saya diberitahu bahwa ini secara efektif terikat ke alamat MAC untuk waktu yang lama, sehingga perangkat mendapatkan IP yang sama setiap kali dihidupkan), dan saya telah memiliki nama host yang ditetapkan untuk setiap perangkat, dikelola oleh server DNS universitas.

Masalah yang saya miliki adalah bahwa setelah terhubung ke jaringan universitas, perangkat terbuka untuk siapa saja di internet; tidak ada firewall di seluruh kampus misalnya. Saya ingin mengisolasi beberapa atau semua perangkat ini dari internet sehingga saya dapat mengontrol apa port / layanan pada perangkat ini dapat diakses dari dalam universitas (misalnya kolega saya ingin mencetak, atau menyimpan data pada / mengakses data dari NAS kotak) dan yang dapat diakses dari luar jaringan universitas. Semua perangkat yang saya sebutkan berada di lokasi fisik yang sama (satu ruang komputer), tetapi stasiun kerja saya berada di ruang yang terpisah dan saya ingin mengakses masing-masing perangkat sendiri untuk administrasi.

Semua workstation (atau akan) menjalankan Scientific Linux. Kotak NAS adalah produk Synology yang menjalankan OS mereka sendiri.

Bagaimana saya harus menyiapkan jaringan mini ini? Apakah masuk akal untuk meletakkan semua perangkat di belakang router? Jika saya melakukan itu, apakah masih mungkin untuk terhubung ke setiap perangkat dengan nama host yang telah dikonfigurasi (katakan dari workstation saya yang tidak akan berada di belakang router), dan jika ya, apa yang harus saya set-up ke mewujudkan itu?

Gavin Simpson
sumber
4
"tidak ada firewall kampus-lebar" - Saya menemukan itu sangat, sangat sulit dipercaya. Sudahkah Anda mengonfirmasi hal ini dengan staf TI universitas?
joeqwerty
6
Pertanyaan ini tampaknya di luar topik karena perlu ditanyakan kepada staf TI Universitas Anda.
EEAA
2
Kemudian minta mereka untuk firewall. Ini akan menyenangkan bagi mereka, menjadi yang pertama kalinya mereka menggunakannya, dan semuanya.
mfinni
3
Bisakah seseorang menjelaskan mengapa ini PL atau apa yang perlu saya lakukan untuk membuatnya pada topik? Ketika saya menjawab @EEAA sebelumnya, saya telah menjawab pertanyaan ini kepada dukungan TI universitas saya dan di atas adalah "saran" yang telah saya berikan. Terserah saya untuk menggunakan saran itu. Seperti yang dijawab oleh Jawaban di bawah ini, dukungan TI di banyak lembaga akademis tidak dalam posisi untuk memberikan bantuan individu karena berbagai alasan, seringkali keuangan. Karenanya kita dibiarkan menggunakan perangkat kita sendiri. Saya akan dengan senang hati meningkatkan Q jika saya bisa, tetapi sejauh ini tidak ada yang mengatakan apa yang salah selain anggapan bahwa saya belum meminta dukungan TI.
Gavin Simpson
4
Ya, router juga sering mampu melakukan firewall, dan sebaliknya, sehingga istilah tersebut terkadang digunakan secara bergantian. Ini bisa apa saja dari ulang $ 20 rumah router (tapi jangan kebaikan dan tidak pergi cukup murah ini) ke Cisco sesuatu-atau-lain $ 15.000. Atau $ 150.000. Mungkin di suatu tempat di sekitar Cisco ASA 55xx adalah tempat yang Anda inginkan. Apa pun yang Anda dapatkan, ingatlah untuk mematikan NAT.
Michael Hampton

Jawaban:

5

Untuk menindaklanjuti apa yang dikatakan @KatherineVillyard, jika Anda perlu mengakses NAS atau sistem lain dari kampus secara umum, inilah yang akan saya lakukan:

Koneksi kampus

Bicaralah dengan siapa pun yang mengelola router kampus, dan minta mereka mencadangkan Anda blok 256 alamat IP, yang akan saya hubungi ABC0 / 24. Nilai-nilai A, B, dan C khusus untuk kampus Anda. Jika Anda tidak bisa mendapatkan 256 alamat, Anda akan hidup, tetapi mendapatkan paling tidak 16. Blok yang lebih kecil akan mengubah 0 dan / 24 ke nomor yang berbeda, hingga / 28 jika Anda hanya mendapatkan 16 IP yang dialokasikan.

Mereka juga perlu mengonfigurasi berbagai perute kampus untuk merutekan blok yang Anda pesan melalui alamat IP tertentu di blok jaringan yang berbeda (seperti yang sudah mencapai ruangan Anda).

Jika Anda tidak bisa mendapatkan blok alamat yang dicadangkan, Anda akan lebih sulit membuat NAS Anda dapat diakses dari seluruh kampus, tetapi semua yang lain akan berfungsi dengan baik dari dalam jaringan ke dunia luar. Tentu bukan tidak mungkin, tetapi mungkin tidak sepadan dengan usaha ekstra. Berusaha sekuat tenaga untuk mendapatkan blok alamat - Anda mungkin perlu berbicara dengan beberapa orang yang berbeda jika yang pertama tidak mengerti apa yang Anda butuhkan.

Jika Anda mendapat blok alamat yang dilindungi undang-undang, Anda perlu mencatat alamat jaringan dan netmask blok itu, dan juga IP luar yang bloknya akan dirutekan. Jika Anda tidak mendapatkan blok alamat yang dicadangkan, Anda mungkin akan berakhir menggunakan router / firewall rumah, dan Anda bisa menggunakan pengaturan apa pun yang ada secara default.

Jika TI kampus sangat mudah digunakan, Anda juga dapat meminta subdomain DNS yang didelegasikan untuk lab Anda juga. Sesuatu seperti gavinslab.campus.edu. Ini benar-benar tidak penting jika mereka tidak memberikan ini kepada Anda, tetapi itu nyaman.

Fisik

Jika Anda memiliki TI kampus untuk mencadangkan Anda satu blok alamat, temukan PC lama tempat Anda dapat memasukkan tiga antarmuka jaringan. Tidak harus kuat sama sekali. Saya telah mengarahkan lalu lintas 100 Mbit melalui Pentium asli, dan gigabit melalui Pentium III. Saya benar-benar tidak menguji batas bawah, hanya bekerja dengan apa pun yang mudah tersedia.

Jika kampus IT tidak dapat mengalokasikan Anda satu blok alamat, cukup dapatkan router / firewall rumah sebagai gantinya.

Kemudian, ambil switch ethernet gigabit dari suatu tempat. Pergantian kantor rumah harus banyak, asalkan memiliki cukup port. Jika Anda mendapat IT untuk mengalokasikan blok alamat, dapatkan dua sakelar. Label satu saklar "DMZ", dan yang lainnya "Internal". Jika mereka tidak mengalokasikan Anda satu blok alamat, hanya dapatkan satu sakelar.

Routing / Firewalling (dengan asumsi tidak ada blok jaringan yang dialokasikan)

Jika Anda tidak mendapatkan blok alamat, cukup sambungkan router rumah dengan antarmuka jaringan eksternal yang dicolokkan ke kampus, dan satu antarmuka jaringan internal dicolokkan ke sakelar gigabit Anda. Perlakukan ruangan seperti jaringan rumah, di mana Anda dapat pergi ke kampus dan dunia luar tanpa masalah, tetapi kampus dan dunia luar akan kesulitan untuk kembali kepada Anda.

Routing / Firewalling (dengan blok jaringan yang dialokasikan)

Jika Anda memang mendapatkan blok alamat, maka hubungkan antarmuka jaringan onboard dari PC lama ke jaringan kampus. Saya biasanya menginstal Debian di atasnya.

Setelah itu, saya akan menginstal kartu jaringan kedua dan ketiga, dan kemudian menggunakan tarball firewall-bootstrap saya untuk mengkonfigurasi firewall, DNS, DHCP, dan layanan penting lainnya (kami telah mengalahkan omong kosong dari skrip itu di kelas saya. menjalankan laboratorium, tetapi pengujian dan umpan balik yang lebih luas dipersilahkan). Jika Anda memiliki pengalaman, silakan melakukan hal lain yang setara.

Yang lainnya (dengan blok jaringan yang dialokasikan)

Colokkan satu sakelar yang dinyalakan ke salah satu antarmuka jaringan tambahan di firewall. Periksa pesan kernel untuk melihat antarmuka ethernet mana yang baru saja muncul. Jika Anda menggunakan skrip saya, Anda ingin memastikan sakelar Internal pada eth1, dan sakelar DMZ pada eth2.

Colokkan sistem yang harus dapat diakses langsung dari luar ruangan ke sakelar DMZ. Colokkan semua sistem lain ke sakelar Internal.

Dan dari sana, jujur, Anda perlu mengajukan lebih banyak pertanyaan sesuai kebutuhan. Saya percaya skrip saya untuk mengatur pengaturan DNS dan DHCP yang berfungsi untuk kedua segmen jaringan, dan untuk memblokir koneksi luar secara default. Tetapi yang lainnya cenderung spesifik lokasi.

Mike Renfro
sumber
10

Pertama-tama, sebagai pelarian dari akademisi, Anda memiliki belasungkawa yang tulus. Tidak seperti para komentator di atas, saya tidak memiliki masalah apa pun percaya bahwa Anda tidak memiliki firewall kampus.

Cara paling sederhana, paling elegan untuk melakukan ini adalah, sayangnya, memiliki firewall kampus. Solusi terbaik berikutnya, tergantung pada siapa Anda ingin memiliki akses ke lab Anda, adalah memiliki semacam firewall departemen di mana setiap orang yang membutuhkan akses ada di dalam firewall departemen tersebut.

Jika Anda tidak dapat melakukan keduanya - dan saya khawatir Anda tidak akan melakukannya - Anda mungkin harus mengkonfigurasi firewall dengan "allow from [rentang ip kampus] / tolak dari orang lain." Jika Anda ingin mengakses mesin-mesin ini dari luar firewall itu, Anda mungkin harus menggunakan nomor routable kampus Anda.

Dan seperti yang Anda katakan di komentar Anda:

Terima kasih, jadi jika saya menggunakan firewall saya sendiri, saya mengkonfigurasi masing-masing perangkat yang saya sebutkan sesuai (iptables di Linux), atau saya harus mengatur lalu lintas pergi ke perangkat ini untuk melewati perangkat firewall yang terpisah.

Benar. Saya mungkin hanya akan mengangkat tangan dalam keputusasaan dan menggunakan iptables, tetapi orang lain mungkin memiliki jawaban yang lebih baik untuk Anda.

Terakhir, saya hanya ingin mengkonfirmasi bahwa ini:

Setiap perangkat memiliki alamat IP yang dialokasikan oleh jaringan melalui DHCP (tapi saya diberitahu bahwa ini secara efektif terikat ke alamat MAC untuk waktu yang lama, sehingga perangkat mendapatkan IP yang sama setiap kali dihidupkan), dan saya telah memiliki nama host yang ditetapkan untuk setiap perangkat, dikelola oleh server DNS universitas.

berarti Anda memiliki reservasi DHCP statis. Jika tidak, server DNS universitas harus diperbarui jika angka-angka itu berubah.

Semoga berhasil!

Katherine Villyard
sumber
1
Untuk memperjelas, dari apa yang saya telah diberitahu oleh beberapa orang, ketentuan DHCP dari alamat IP ke alamat MAC yang saya berikan tidak permanen, tetapi sewa tidak berakhir selama berbulan-bulan. Bagaimana ini berhubungan dengan apa yang mereka lakukan DNS untuk mesin yang sama ini saya tidak tahu. 1 hal lagi untuk diklarifikasi. Terima kasih atas komentar lainnya juga.
Gavin Simpson
Mereka menggunakan nomor itu yang mungkin kedaluwarsa dalam beberapa bulan untuk DNS, jadi mungkin saja orang-orang secara acak tidak akan bisa mengakses berbagai perangkat Anda dalam beberapa bulan ketika Anda sudah lupa semua tentangnya. Sesuatu yang perlu diingat.
Katherine Villyard