hm..
von aussen gibts mal einen ersten router, der vpn-tunnel bereitstellt und per default alles blockt und protokolliert. dahinter ist eine dmz, mit eigenem adressbereich (da sind linuxe und unixe).
dahinter trenne ich wlan und festnetz auf - aus sicherheitsgründen wegen hacking des wlan, und weil meine mieter im wlan hängen (und nicht an den fileserver rankönnen sollen). untereinander können diese beiden netze nicht reden, ausser über internes openvpn wlan->lan.
webserver und openvpn server sind auf separaten bzw. virtuellen maschinen untergebracht, firewalls restriktiv gesetzt (also wenn möglich auf ip festgelegt, dhcp mit reservierungen versehen). ssh nur mit benutzerkonten möglich; der openvpn zugang ist mit iptables restriktiv gehalten.
der fileserver hat eine softwarefirewall mit definierten regeln für clients und openvpn-server; automatische updates und clamav gehören dazu. die clients wiederum haben lokal xp sp2, und werden periodisch heruntergefahren und mittels clamav durchsucht.
softwaremässig- spamfilter und regeln, ansonsten wird alles unbekannte gelöscht. liebe haben wir zuhause genug, da brauchts keine mails
