这是我在 serverfault 上发表的第一篇文章,也是我第一次设置这种网络,因此如果它不够完善,我提前致歉。
我正在规划一个小型(教育中心)网络,其中大约有 20-30 台 Windows 学生电脑、平板电脑和员工笔记本电脑。
我的目标:
- 创建两个安全区,将学生和员工分开。学生的互联网访问受到限制(拒绝)。员工可以看到所有内容。
- 将 Windows 映像复制到所有学生电脑
- 跟踪学生档案
- 通过网络服务器提供学生资源
计划:
- 使用多雾路段对 Windows 映像进行重现并维护和更新学生电脑。
- 使用 Samba 集中管理学生文件(数量不多)。计划为所有学生设置一个通用登录名,然后编写一个脚本和 GUI,使用 dirsyncpro 将学生文件同步到他们自己的子目录中。
- 使用 apache 来提供网络资源。
我真的不知道如何为学生设置一个禁区。我猜我需要为学生和员工设置 2 个子网,但我不确定如何为他们提供服务。我是否只需要配置我的服务来监听两个子网?我需要 2 个 NIC 吗?在这种情况下,将我的服务器称为网关是否正确?我认为结构应该是这样的:
Internet
|
Modem
|
Router
| | | |
Ubuntu Server Employee Employee etc..
|
Router
| | |
Student student etc...
这是个好办法吗?或者我能以某种方式实现子网,让它们都位于同一个路由器上。我以前从未使用过子网或 iptables,但这是我在做这件事时试图学习的东西。
之后,我将通过 ssh 或 VPN 远程管理所有内容
编辑:我忘了说我们无法投资 Windows 服务器。我知道我会错过 Active Directory 的好处,但找到一个用于 Windows 客户端管理的 Linux 解决方案不是很好吗?
提前致谢,
答案1
您的问题肯定不止一个答案,而且让学生和老师位于不同子网上的想法并不是一个坏主意,但在我看来,对于这么小的网络来说,这有点复杂......
您可以创建一个子网,省去额外的路由器,并在服务器上使用路由软件,这样您就可以通过 Active Directory 身份验证轻松控制谁可以访问哪些网站等。当然,将 Ubuntu 置于这一切之中就像试图将锤子用作螺丝刀一样;如果您使用的是 Windows Server,则可以使用 ISA,它现在称为威胁管理网关 (TMG)。
或者,如果您愿意,也可以完全忘记 Windows。Linux 上的 Squid:http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:第 32 章:使用 Squid 控制 Web 访问