Come configurare una piccola rete di computer all'interno di una rete universitaria più grande?

Ho un piccolo laboratorio informatico (8 workstation HP, 1 server HP, 2 box NAS, 1 stampante di rete HP) dove attualmente tutti i dispositivi sono collegati direttamente alla rete della mia università. Ogni dispositivo ha un indirizzo IP assegnato dalla rete tramite DHCP (ma mi è stato detto che questi sono effettivamente associati agli indirizzi MAC per molto tempo, quindi il dispositivo ottiene lo stesso IP ogni volta che viene acceso), e ho avuto nomi host assegnati a ciascun dispositivo, gestiti dal server DNS dell'università.

Il problema che ho è che una volta connessi alla rete universitaria i dispositivi sono aperti a chiunque su Internet; ad esempio, non esiste un firewall a livello di campus. Vorrei isolare alcuni o tutti questi dispositivi da Internet in modo da poter controllare quali porte / servizi su questi dispositivi sono accessibili dall'università (ad esempio i miei colleghi vogliono stampare o archiviare dati su / accedere ai dati dal NAS caselle) e accessibili dall'esterno della rete universitaria. Tutti i dispositivi che menziono si trovano nella stessa posizione fisica (l'unica sala computer), ma la mia workstation è in una stanza separata e voglio accedere a ciascuno dei dispositivi per l'amministrazione.

Le workstation sono tutte (o saranno) in esecuzione Scientific Linux. Le scatole NAS sono prodotti Synology che eseguono il proprio sistema operativo.

Come devo fare per configurare questa mini-rete? Avrebbe senso mettere tutti i dispositivi dietro un router? Se lo faccio, sarà comunque possibile connettermi a ciascun dispositivo tramite i nomi host che sono stati configurati (diciamo dalla mia workstation che non si troverà dietro il router), e se lo è, cosa devo impostare per farlo accadere?

Per dare seguito a ciò che ha detto @KatherineVillyard, se è necessario accedere al NAS o ad altri sistemi dal campus in generale, ecco cosa farei:

Collegamenti al campus

Parla con chiunque gestisca il router del campus e chiedi loro di riservarti un blocco di 256 indirizzi IP, che chiamerò ABC0 / 24. I valori di A, B e C sono specifici per il tuo campus. Se non riesci a ottenere 256 indirizzi, vivrai, ma ne otterrai almeno 16. Blocchi riservati più piccoli cambieranno lo 0 e il / 24 in numeri diversi, fino a / 28 se ricevi solo 16 IP assegnati.

Dovranno inoltre configurare vari router del campus per instradare il blocco riservato attraverso un indirizzo IP specifico in un blocco di rete diverso (come quello che già raggiunge la tua stanza).

Se non riesci a ottenere un blocco di indirizzi riservato, avrai più difficoltà a rendere il NAS accessibile dal resto del campus, ma tutto il resto dovrebbe funzionare bene dall'interno della rete al mondo esterno. Non è certamente impossibile, ma potrebbe non valere la pena. Fai il possibile per ottenere il blocco di indirizzi: potresti dover parlare con poche persone diverse se la prima non capisce di cosa hai bisogno.

Se si dispone di un blocco di indirizzi riservati, è necessario registrare l'indirizzo di rete e la maschera di rete del blocco e anche l'IP esterno attraverso il quale verrà instradato il blocco. Se non hai ricevuto un blocco di indirizzi riservati, probabilmente finirai per utilizzare un router / firewall domestico e puoi semplicemente utilizzare qualsiasi impostazione abbia per impostazione predefinita.

Se l'IT del campus è davvero facile da lavorare, puoi anche chiedere un sottodominio DNS delegato per il tuo laboratorio. Qualcosa come gavinslab.campus.edu. Non è davvero fondamentale se non ti danno questo, ma è conveniente.

Fisico

Se hai l'IT del campus a riservarti un blocco di indirizzi, trova un vecchio PC in cui puoi inserire tre interfacce di rete. Non deve essere affatto potente. Ho indirizzato il traffico a 100 Mbit su un Pentium originale e gigabit su un Pentium III. Non ho davvero testato i limiti inferiori, ho solo lavorato con qualsiasi cosa fosse facilmente disponibile.

Se l'IT del campus non è in grado di assegnare un blocco di indirizzi, procurati invece un router / firewall domestico.

Quindi, prendi gli switch Gigabit Ethernet da qualche parte. Uno switch per l'home office dovrebbe essere sufficiente, purché abbia abbastanza porte. Se hai l'IT per allocare un blocco di indirizzi, ottieni due switch. Contrassegnare un interruttore "DMZ" e l'altro "Interno". Se non ti hanno assegnato un blocco di indirizzi, ottieni solo uno switch.

Routing / Firewalling (presupponendo che non sia stato allocato alcun blocco di rete)

Se non hai ricevuto un blocco di indirizzi, basta collegare il router di casa con l'interfaccia di rete esterna collegata al campus e un'interfaccia di rete interna collegata allo switch Gigabit. Tratta la stanza come una rete domestica, dove puoi raggiungere il campus e il mondo esterno senza problemi, ma il campus e il mondo esterno avranno difficoltà a tornare da te.

Routing / Firewalling (con un blocco di rete allocato)

Se hai ricevuto un blocco di indirizzi, collega l'interfaccia di rete integrata del vecchio PC alla rete del campus. Normalmente installerei Debian su di esso.

Successivamente, installerei la seconda e la terza scheda di rete, e quindi utilizzerei il mio tarball firewall-bootstrap per configurare firewall, DNS, DHCP e altri servizi critici (abbiamo battuto la merda da quello script in una classe che sto gestione di laboratori per, ma sono benvenuti test e feedback più ampi). Se hai l'esperienza, sentiti libero di fare qualcos'altro equivalente.

Tutto il resto (con un blocco di rete assegnato)

Collegare uno switch all'accensione in una delle interfacce di rete aggiuntive nel firewall. Controlla i messaggi del kernel per vedere quale interfaccia Ethernet è appena arrivata. Se stai usando il mio script, assicurati che l'opzione Internal sia su eth1 e l'opzione DMZ sia su eth2.

Collegare i sistemi che devono essere direttamente accessibili dall'esterno della stanza sullo switch DMZ. Collegare tutti gli altri sistemi allo switch interno.

E da lì, onestamente, dovrai porre più domande secondo necessità. Mi fido del mio script per configurare un'impostazione DNS e DHCP funzionante per entrambi i segmenti di rete e per bloccare le connessioni esterne per impostazione predefinita. Ma tutto il resto tende a essere specifico del sito.

Prima di tutto, come evaso dal mondo accademico, hai le mie più sincere condoglianze. A differenza dei commentatori sopra, non ho alcun problema a credere che tu non abbia un firewall nel campus.

Il modo più semplice ed elegante per farlo sarebbe, purtroppo, avere un firewall del campus. La soluzione migliore successiva, a seconda di chi si desidera avere accesso al proprio laboratorio, sarebbe quella di avere una sorta di firewall di reparto in cui tutti coloro che avevano bisogno di accesso fossero all'interno di detto firewall di reparto.

Se non puoi fare nessuno dei due - e temo che non lo farai - probabilmente dovrai configurare un firewall con "consenti da [intervalli IP campus] / nega da tutti gli altri". Se vuoi accedere a queste macchine dall'esterno di quel firewall, probabilmente dovrai usare i numeri instradabili dei tuoi campus.

E come hai detto nel tuo commento:

Grazie, quindi se uso il mio firewall, o configuro ogni singolo dispositivo che ho citato di conseguenza (iptables su Linux), o devo organizzare il passaggio del traffico verso questi dispositivi attraverso un dispositivo firewall separato.

Corretta. Probabilmente vorrei solo alzare le mani nella disperazione e usare iptables, ma qualcun altro potrebbe avere una risposta migliore per te.

Infine, volevo solo confermare che questo:

Ogni dispositivo ha un indirizzo IP assegnato dalla rete tramite DHCP (ma mi è stato detto che questi sono effettivamente associati agli indirizzi MAC per molto tempo, quindi il dispositivo ottiene lo stesso IP ogni volta che viene acceso), e ho avuto nomi host assegnati a ciascun dispositivo, gestiti dal server DNS dell'università.

significa che hai una prenotazione DHCP statica. Altrimenti, il server DNS dell'università dovrà essere aggiornato se tali numeri cambiano.

In bocca al lupo!