Создание сети под никс с практически нуля

[BW-Muscat]

Ситуация следующая.

Заранее прошу прощения, если выражаюсь криво и не всегда понятно, только начинаю врубаться в сетевые технологии, поэтому буду только рад уточняющим вопросам и посылам читать такие то факи)

Есть офисное здание, в котором работает наша сетка, на которой собрана система видеонаблюдения и эл.пропусков, которая сейчас устроена так

В подвале стоит центральный свич D-Link 1024D, к которому подключены наши и не совсем наши компы (тех, кому нужен доступ к нашей сети). От него на этажи уходят витухи, на каждом 5ом этаже стоят 5 портовые свичи ( тоже Длинковское что то, самые примитивные). На каждом таком свиче висит 1 наш комп и несколько компов левых контор ( условно считаем все это внешней сетью). Картинка прилагается.

В этой сети работает наша собственная сетевая программа, в которой настраивается кому куда и как что слать.

На всех машинах стоит Windows XP Pro, но лицензия только на нескольких. Чтобы не разориться и не увидеть небо в клеточку будем переходить на Linux. Так же назрела необходимость обеспечения выхода в интернет, а значит вопрос безопасности встал ребром.

Нужно реализовать следующие вещи

1) Фаерволл. Каждой нашей машине (автономные серверы) разрешить доступ только к тем сетевым ресурсам, которые она использует. Например соединяться только с этим адресом,по этим портам, расшарить только эту папку этим юзерам. Желательно чтобы машины работали по профилям, т.е. одни и те же настройки ставить на много машин сразу.

2) Внешние подключения обычно идут с машин с двумя сетевыми картами. Одна на нашу сеть, вторая внешняя ( их офисная сеть, инет, все что угодно). Как я вижу решение проблема - по mac адресу карты присваивается IP адрес, для которого уже настроены жесткие ограничения - принимать от этой машины только пакеты с таких то портов ( на которые настроена наша программа), разрешить доступ к конкретным папкам на конкретных машинах ( например просмотр папок с видеоахривами).

3) Удаленный рабочий стол - есть ли средства из под линукса удаленно зайти на винмашину? Дело в том, что на некоторых компьтерах скорее всего придется оставить винду.

4) Резервное копирование - какими средствами реализовать следующую задачу. У каждой машины есть расписание, по которому выполняется создание полного образа системного диска и его сохранение на удаленной машине.

Вопросы на понимание ( мое)

1) Как я понимаю работу наших этажных свичей сейчас - на него приходит эзернет пакет, он считывает макадрес и по нему определяет в какой порт его заслать. Есть наша машинка, есть внешний комп который пытается получить к ней доступ. Нужно ли заменять все свичи на роутеры и в них блокировать доступ на уровне макадресов, или же оставить свичи и всю фильтрацию осуществлять на сетевом уровне? В идеале нам нужны 6 портовые устройства, но таких нет.

2) Что делать со свичем внизу? Как я вижу решение - покупка многопортового роутера, который мы настраиваем с сервера и в дальнейшем вся фильтрация осуществляется этим роутером. Или же мы оставляем свитч, но тогда получается что все пакеты, прежде чем попасть по адресату, будут проходить через наш сервер?

3) На каком железе собирать сервак? Для резервного копирования raid массив, это понятно. Какую сетевую карту выбрать? Насколько мощный процессор нужен? Оперативная память?

[BW-Muscat]

Уточняем вопрос

В идеале нужно осуществить

1) Фильтрацию по мак адресам (вообще запретить определенным компьютерам любые соединения, кроме разрешенных)

2) Фильтрацию по IP ( машина не принимает пакетов кроме как от разрешеных машин)

Вариант следующий

1) На этажах ставим роутеры, в которых жестко прописываем, что всем внешним машинам можно слать пакеты только на пару заданных макадресов. Т.е. все внешние соединения пускаем через роутеры, чем отсекаем их от нашей уютной сети.

2) Внизу оставляем свитч, поднимаем дхцп сервак с жесткой привязкой по IP адресам и осуществляем фильтрацию по IP адресам. Машина принимает пакеты только с тех адресов, которые разрешены.

Насколько безопасен такой вариант?

[Ineu]

Тогда проще поставить свичи, умеющие виланы и свести кучу виланов вниз, к единственному роутеру, на котором все разруливается.

Дополнительно можно посмотреть в сторону 802.1x, т.е. авторизация клиентов непосредственно на портах свичей, куда они включены.