Hallo zusammen.

Ich will mir endlich einen Mac Mini als Server anschaffen und ihn aus dem iNet zugänglich machen.
In einem ersten Schritt soll Mail, Kalender von aussen zugänglich sein - später ev. mehr.

Betreffend Schutz fehlt mir das Wissen.

Macht es Sinn eine Hardware-Firewall zu verwenden oder reicht die interne Software-Firewall aus?
Wie sieht eure Netzkonfiguration aus?

Ich habe betreffend der Firewall gegensätzliche Aussagen gelesen und euer Fachwissen interessiert mich sehr.

Gruss RAW

Hallo,

ich kann kurz von mir berichten.
Ich bin jetzt auch endlich auf einen Mac Mini als Server umgestiegen.
Bei mir läuft allerdings als Hauptsystem ESXi 6 drauf und dann Virtuell die Sophos UTM Home (Firewall Router, inklusive Proxy, Webschutz, Zentrale Verwaltung für Windows Antiviren Software von Sophos und mehr - definitv angenehmer zu verwalten als PFSense) und Mac OS X 10 mit der Server App.
Weitere Virtuelle Machinen kann ich jederzeit hinzufügen. Mit 16 GB Ram ist für mich genug Speicher vorhanden. Ein Core i5 ist akzeptabel für meine Lösung.
In Mac OS X habe ich dann plex server, calibre server, devonthink pro office als webserver, iTunes und fileserver Dienste laufen (ein zentrales Timemachine Backup für alle Macs im Hause läuft auf einem Synology NAS mit USB Sicherung )

So sieht es bei mir aus.

Ganz simpel:

Kabeldeutschland Modem/Router Mac Mini server (Sophos UTM ) Mac OS X, internes netwerk

Das ist auch nicht nicht ganz perfect, da es nicht wirklich dem DMZ Schema entspricht, aber mit Sophos fühle ich mich einigermaßen sicher


Du wirst ja wahrscheinlich auch einen Router haben, in dem du Ports weiterleitest (NAT), richtig? Dann müsstest du nicht zwingend noch eine Hardware Firewall haben. Je nachdem wie viel Kontrolle du über alles haben willst und Zeit investieren möchtest. Mir gefällt aber wie gesacht die Sophos UTM sehr gut und die Reports sind übersichtlich, sodass ich einen überblick habe wer was von außen und von innen im Netzwerk macht.

Software Firewall macht imho nur Sinn wenn ein rechner (wie "früher" üblich) direkt per Modem am Internet hängt. In Zeiten wo mittlerweile überall mindestens ein Router dazwischen werkelt erscheint mir das obsolet, weil so ziemlich jeder Router der letzten 10 Jahre bereits eine Firewall bereitstellt.

Nimm du Firewall deines Routers (welchen hast du?)
Denn wenn du das jetzt schon nicht selber entscheiden kannst dann wird es bei der Konfiguration wahrscheinlich auch hapern. Also wieviel Ahnung hast du von Servern, Routern und Netzwerk?

Vorerst Danke an diekroete und kawi.

Ja, Router mit NAT.
Gemäss deiner Konfiguration mit Sophos UTM ist eine Wirewall notwendig.

In Diskussionen habe ich gelesen, dass für Privat Anwender NAT genügt und eine Firewall nicht nötig ist.

Habe den Swisscom-Router Centro Piccolo.

Was Router und Server anbelangt bin ich unerfahren - soll sich mit diesem Projekt ändern.
Möchte aber nicht blauäugig einfach den Server ans INet hängen.

Hallo,
ich persönlich bin kein Freund davon, irgend welche Rechner, die im internen Netz hängen, von aussen erreichbar zu machen. Denn da draussen gibt es viele Idioten, die nichts besseres zu tun haben, als nach angreifbaren Rechnern zu suchen. Deshalb entweder eine richtige (teure) Firewall mit DMZ, oder eine Routerkaskade. Also Router 1 stellt die Verbindung ins Netz her, an dessen interner Seite hängt der Server und Router 2, der dann das interne Netz macht. Dadurch ist der Server einerseits von innen erreichbar, andererseits ist das lokale Netz nicht gleich kompromittiert, wenn ein Angreifer sich Zugang zum Server verschafft.

Die andere Möglichkeit (hängt davon ab, wer alles Zugang kriegen soll) ist ein VPN einzurichten, darüber dann von draussen die Verbindung zum lokalen Netz herzustellen, und wenn die steht, dann kann auch auf den Server zugegriffen werden.

Hallo maculi

Danke für deine Antwort.

Meine Idee war den Zugriff via VPN.
Den Zugang soll nur für wenige user (ca. 4-6 Geräte) der Familie gewährt werden.
Ist in deinem Vorschlag der Router oder Server der VPN-Server?

Wenns dein Router als VPN-Server fungieren kann ist der zu bevorzugen. Deinen kenne ich nicht, Fritzboxen und Drayteks haben es immer. Aber es gibt sicher auch andere

auch wenn MikeMuc was anderes behauptet, ich würde in dem Fall eine Portweiterleitung zum Server einrichten, und dort dann das VPN erstellen.

Hängt aber auch davon ab, wie umständlich das im jeweiligen Router gelöst ist, und wie leistungsfähig dessen Hardware ist. Bei den Fritzboxen beispielsweise ist es so, das es vom Hersteller selbst kein Programm gibt, um ein VPN für den Mac einzurichten. Wie das bei deinem ist musst du klären. Wenn die Hardware vom Router nicht so richtig rennt, dann kann der Mini selbst das VPN auf einem anderen Niveau abwickeln als der Router, da der leistungsmäßig doch gleich in einer anderen Liga spielt. Und von der Einfachheit der Einrichtung kommt wohl kaum was anderes an das ran, wie es beim Server geht.

VPN sollte auf dem Router gehen.

Danke für alle Beiträge - werde nun mein projekt starten.

RAW

Interessante Konstellation. Ging das problemlos Yosemite auf ESXi zu virtualisieren?