Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Mac Pro als Server und Firewall verwernden?

Mac Pro als Server und Firewall verwernden?

becreart23.02.1711:35
Hallo

Ich würde gerne unseren Mac Pro, der schon als Server dient auch als Firewall für das ganze Netzwerk verwenden, da wir ein VPN einrichten wollen.

Kann ich dabei die beiden Ethernet Anschlüsse verwenden, damit der Mac Pro zwischen Internet (Fritzbox) und Netzwerk (Switch) sitzt? Wie müsste dieser dann konfiguriert werden?

Gruss
0

Kommentare

Hannes Gnad
Hannes Gnad23.02.1711:41
So was könnte man machen, allerdings ist macOS dafür...nicht ideal, um es mal so zu tippen.

Wenn man so etwas machen möchte, sollte man sich ein Gerät dafür zulegen, daß hier seinen Schwerpunkt hat, so was hier z.B.

http://www.securepoint.de/produkte/kv-safenet-gateways.html

Alternativ kann man die Fritz!Box einfach Router und Firewall sein und bleiben lassen, die macht das für kleine Umgebungen gar nicht so schlecht, und per drei Port-Weiterleitungen den Mac Pro mit Server.app das VPN anbieten lassen.
+1
caMpi
caMpi23.02.1711:46
Hab ich nen Trend verpasst, weil das in letzter Zeit häufiger versucht wird?!
Wie schon in 2-3 anderen Threads vor kurzem geschrieben artet sowas in ziemlicher Bastelei aus.
An die Fehlersuche und -behebung möchte ich erst gar nicht denken.
Auch wenn du das nicht hören willst, aber such dir eine kleine Hardwarefirewall, die meisten können auch VPN. Das wird sicher und v.a. auch einfacher funktionieren, und du hast Support falls was nicht klappt.
Hannes Gnad
...und per drei Port-Weiterleitungen den Mac Pro mit Server.app das VPN anbieten lassen.
Im Fall der Fälle steht der Angreifen dann mit beiden Beinen im Netzwerk. Auch wenn das vielleicht bequem ist, eine Anmeldung für alles zu haben, würde ich dann doch lieber die Fritzbox VPN-Server spielen lassen.
„Keep IT simple, keep IT safe.“
0
KarstenM
KarstenM23.02.1711:48
Ich kann zwar keine konkreten Hilfen für dich anbieten, jedoch ging beim Lesen deiner Frage bei mir gleich ein Licht an.
Den Server, inkl. schützenswerter Daten gleichzeitig für die Netzsicherheit verwenden halte ich persönlich nicht für sinnvoll. Denn wenn die Sicherheit gebrochen wird, ist der Server gleich mit dran.
Ich hätte da eher den Gedanken mit z.B. einem Raspberry Pi mit zusätzlicher USB-NIC einen dedizierte Firewall zu bauen. Ich kann aber nicht sagen ob sowas performant ist.
0
becreart23.02.1711:48
Hannes Gnad

Danke, somit ist die Firewall der Fritzbox ausreichend? Gut zu wissen, macOS Server könne damit besser umgehen.
0
Hannes Gnad
Hannes Gnad23.02.1712:44
Wie getippt, für "normale" kleine Umgebungen ist eine F!B mit aktuellem OS und korrekter Einstellung völlig ausreichend. Wenn man dann eben VPN nutzen möchte, kann man das wahlweise die Box machen lassen - mittlerweile läßt sich das mit der einigermaßen gut konfigurieren - oder eben den VPN-Dienst der Server.app. Das macht bzgl. der Netzwerksicherheit übrigens keinen Unterschied: Wer dann eine stehende VPN-Verbindung hat, ist damit ganz normal Mitglied des LAN, wie alle anderen Geräte auch. Das bedeutet noch nicht, daß man Zugriff auf weitere Ressourcen wie die Freigaben des Servers hat, wenn man sicherheitshalber für den VPN-Zugriff auf dem Server separate Benutzer anlegt, die eben nur diesen Dienst nutzen dürfen, aber nicht gleichzeitig die Freigaben. Ungezählte Male so eingerichtet...
0
becreart23.02.1713:03
Hannes Gnad

Perfekt, dann mache ich das auch so, ja ist eine kleine Umgebung mit 4-5 Rechnern im lokalen Netzwerk.
0
caMpi
caMpi23.02.1713:03
becreart
die Firewall der Fritzbox
Um genau zu sein, ist das gar keine richtige Firewall. Durch NAT finden einfach alle Anfragen von außen, die nicht von innen angefordert wurden, kein Ziel. Die Fritzbox verwirft die Pakete in diesem Fall.
Und die Hand voll Einstellungen wie Portweiterleitungen, Whitelist, Blacklist, usw. macht auch keine Firewall, bei der ich den Datenverkehr IP-, Namens, Port- oder Protokollbasiert zulassen ob ablehnen kann.
Aber wie Hannes sagt, für viele "normale" Umgebungen ist sowas wie eine Fritzbox ausreichend.
Fakt ist aber, dass ich mit einer Portweiterleitung auf ein Gerät im LAN einen Zugang von außen schaffe.
Wenn man das "gescheit" machen will, baut man eine DMZ auf, mit einer Firewall davor und dahinter.
„Keep IT simple, keep IT safe.“
+2
gfhfkgfhfk23.02.1713:51
caMpi
Hab ich nen Trend verpasst, weil das in letzter Zeit häufiger versucht wird?!
Es gibt sehr gute Gründe hintern dem Router noch eine richtige Firewall zu betreiben, weil zunehmend die Router gehackt werden. Zudem kann man auf einer richtigen Firewall den Traffic konsequent filtern (z.B. transparenter Proxy) und muss nicht in Kauf nehmen, dass ungefragt Daten ins Netz gelangen. Auf den typischen Routern geht so etwas i.d.R. nicht.
+2
caMpi
caMpi23.02.1714:24
gfhfkgfhfk: das ist mir klar, ich kenne die Umstände. Daher auch mein Nachhaken in dem von dir zitierten Post, sowie in meinem zweiten Post.
Ich meinte damit aber, einen Mac als Firewall einzusetzen. Ich kann mich da an 2-3 Threads in den letzten Wochen erinnern.
„Keep IT simple, keep IT safe.“
0
gfhfkgfhfk23.02.1717:20
Dann verstehen wir uns ja
0
domik8723.02.1720:10
Ich kann für solche vorhaben immer wieder pfSense empfehlen, mit ein wenig Einarbeitung eine sehr gute Firewall/Router. Kann man auch in einer VM laufen lassen, einfach zwei virtuelle Interfaces anlegen und den ganzen Traffic durchleiten.


Als alternative zur pfSense kann ich noch Sophos UTM empfehlen
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.