Rede de pessoal privado na rede pública

Navegue suas respostas
2

Eu sou o administrador de sistemas em uma pequena biblioteca pública. Desde que cheguei aqui há alguns anos, tenho tentado configurar a rede de maneira segura e simples.

A segurança é um pouco complicada; a equipe e as redes de usuários precisam ser separadas, por motivos de segurança. Mesmo que eu isole ainda mais a rede pública sem fio, prefiro não confiar na segurança de nossos computadores públicos. No entanto, as duas redes também precisam se comunicar; mesmo que eu configure VMs suficientes para que eles não compartilhem nenhum servidor, eles precisam usar as mesmas duas impressoras no mínimo.

Atualmente, estou resolvendo isso com alguns equipamentos de commodity jerry-rigged. A rede de usuários, interligada por switches, tem um servidor Windows conectado a ela para DNS e DHCP e um modem DSL para um gateway. Também na rede do cliente é o lado WAN de um roteador Linksys. Esse roteador é o "topo" da rede de funcionários e tem o mesmo servidor Windows conectado em uma porta diferente, fornecendo DNS e DHCP, e outro modem DSL mais rápido (conexões separadas são muito úteis, especialmente porque dependemos muito de alguma nuvem -hosted software). Ambas as redes possuem redes sem fio (equipe protegida com WPA, é claro).

tl: dr: Temos uma rede pública e uma rede de funcionários NATed dentro dela.

Minha pergunta é; Essa é realmente a melhor maneira de fazer isso? O equipamento certo provavelmente tornaria meu trabalho mais fácil, mas qualquer coisa com mais de quatro portas e até mesmo administração rudimentar rapidamente se torna um strong impacto em nosso orçamento.

(Minha pergunta original era sobre um problema de roteamento DHCP extremamente frustrante, mas pensei em perguntar se minha rede estava quebrada em vez de perguntar sobre o problema de DHCP e ser informada de que minha rede estava quebrada.)

    
por pianohacker 29.05.2010 / 21:36

1 resposta

2

Para mim, parece ser uma simples questão de usar VLANs para separar as redes em questão e, em seguida, usar placas de rede nos servidores que possam diferenciar o tráfego da VLAN e responder de acordo. É claro que os switches precisam ter capacidade de VLAN, o que, se ainda não estiverem, pode ser um pouco mais caro do que você pode pagar. O ProCurve faz bons switches 10/100 de 24 portas por menos de US $ 400, se não for muito alto.

O mais avançado LinkSys pode ser um problema, no que diz respeito às VLANs. Eu sei que algumas das coisas mais sofisticadas da LinkSys (se é que isso existe) podem funcionar com VLANs, mas eu nunca gostei delas. Você pode querer ver se o seu LinkSys é candidato a ter o dd-wrt instalado, que pode lidar com VLANs e pode ser um pouco mais robusto, tanto quanto o que ele pode fazer por você de outras maneiras.

Ou você pode usar um dos seus servidores como gateway / firewall. Elimine o IPCop em um equipamento confiável e termine com o LinkSys para sempre.

    
por 30.05.2010 / 00:38

Tags

Como redirecionar tudo de não-www para www Exceto por alguns arquivos, usando .htaccess? Firewall compartilhado ou vários firewalls específicos do cliente?