ich benutze momentan einen sehr alten rechner (p3-450) als fli4l-router und einen zweiten als lamp/samba/allesmögliche-server. im zuge einer aufrüstung gibt es teile "runterzuvererben", sodass ich gerne aus den 2 maschinen eine einzige machen würde. strom und so.
wie ratsam ist das denn in anbetracht der tatsache, dass der server von aussen zu sehen wäre (da er ja gleichzeitig der router ist)? da liegt jetzt kein supergeheimscheiß drauf, also um gezielte angriffe mach ich mir keine sorgen... aber wie siehts mit automatischen angriffen aus?
distri wäre gentoo, bin auch kein sicherheitsexperte, also meine vorkehrungen wären mit "nicht benötigte ports zumachen" und "glsa-check" ziemlich vollständig beschrieben.

LAN und das Nezt sollte man schlicht trennen. Wenn, wie beschreiben, bei dir nichts "wichtiges" im Netz liegt, dann könnte man es für den Heimgebrauch zusammen einrichten. Sobald irgendwo eine Lücke auftritt, haben potentielle Angreifer schnell Zugriff auf die gesamte Maschine (Sie könnten z.B. einen transparenten Proxy aufsetzten und deine Daten mitschneiden).

Allerdings würde ich mir mindestens eine Virtualisierungsinstanz da rein setzten, damit die beiden Maschinen wenigstens ein wenig getrennt sind. Hoffentlich bringen deine neuen Komponenten etwas mehr Ressourcen mit, dann würd ich sowas planen:
ESXi (http://www.vmware.com/de/products/datacenter-virtualization/vsphere-hypervisor/overview.html) + Astaro Security Gateway (http://www.sophos.com/de-de/products/unified.aspx) + Server/NAS

Also wenn man keine Ports öffnet und keine Dienste laufen lässt, die groß mit dem Internet agieren (also Updates: ja, Torrent: Nein, (Mail-)Proxy: Eher nicht) ist die Angriffsfläche sehr klein, dann kann man auch relativ problemlos beides auf einem Rechner betreiben.
Sicherer wird es natürlich, wenn man den Router virtualisiert, dabei braucht es auch kein ESX, KVM oder so tut es für den Heimgebrauch auch. In der VM kann dann auch ruhig weiter fli4l laufen.
Ansonsten würde ich aber auch nochmal über Gentoo nachdenken. Ich habe das System auch lange eingesetzt und es hat seine Vorteile, aber für einen stabilen und sicheren Server würde ich eher ein Serversystem einsetzen. Bei Gentoo kann man einfach auch genug falsch machen. Andererseits, wenn fli4l in ner VM läuft ist Sicherheitstechnisch auch schon wieder fast schnuppe wie der Host heißt...
Außerdem verbraten Updates bei Gentoo natürlich auch mehr energie als bei Debian und konsorten ;-)

ok habt mich überredet, der router bleibt ;)
welche distri wäre denn für den server zu empfehlen? wichtig ist halt, dass alles über ssh funktioniert, weil da keine grafikkarte drin ist. wird nur eingebaut bis der sshd läuft.

ich sehe ehrlich gesagt kein großes problem darin alles auf einem server laufen zu lassen so lange er richtig konfiguriert ist und nicht irgendwelche public-freigaben ins internet oder unnötig offene ports/dienste hat und immer aktuell gehalten wird.

als system käme vieles in frage, u.a. ubuntu-server, debian oder centos. von gentoo würde ich eher abraten weil du da erstens leichter was falsch konfigurieren kannst und zweitens eine source-distri totale resourcenverschwendung ist weil du dauernd stundenlang irgendwas kompilieren musst wenn du es aktuell halten willst. außerdem stehen dahinter viel weniger aktive entwickler als hinter debian/ubuntu und centos/RHEL.

Wir haben auch nur eine Kiste. Von aussen ist nur http erreichbar.
Wir haben debian stable. Man kann schon sehen, dass ab und zu mal ein paar Angreifer versuchen dadrauf zu kommen.

LAN und das Nezt sollte man schlicht trennen. Wenn, wie beschreiben, bei dir nichts "wichtiges" im Netz liegt, dann könnte man es für den Heimgebrauch zusammen einrichten. Sobald irgendwo eine Lücke auftritt, haben potentielle Angreifer schnell Zugriff auf die gesamte Maschine (Sie könnten z.B. einen transparenten Proxy aufsetzten und deine Daten mitschneiden).
Beim Router kann man LAN und WAN ja nicht wirklich trennen. Wenn man den Router gehackt hat kann man auch den Proxy einrichten.

also ich bräuchte von aussen erreichbar nur http und irgendein filetransferprotokoll. kann man sftp von aussen erlauben, shellzugang aber nur lanseitig?

Nur http oder http mit php oder irgendeiner anderen dynamischen Sprache? Weil http Server, am besten noch mit irgendeiner gängigen php Anwendung, sind DAS Einfallstor schlechthin. Den würde ich auf jeden Fall nur virtualisiert laufen lassen. Es kann natürlich gut gehen, insbesondere wenn man seine PHP Applikation immer zeitnah mit Updates versorgt, aber gerade im Heimgebrauch ist meine Erfahrung, dass man nach einiger Zeit da etwas nachlässiger wird. Und irgendwann kommt halt doch mal das Skriptkiddie vorbei und nutzt die seit 2 Jahren gepatchte (nur nicht bei dir) Lücke aus.
SSH Zugang ist normalerweise kein großes Problem, natürlich muss das Passwort gut sein, noch besser als Passwörter ist natürlich Passwortlogin verbieten und nur Authorisierungen per Zertifikat zulassen. Das ist aber natürlich nicht für jeden praktikabel.

Das meiste aktualisiert sich ja automatisch, wenn man es über das Paketmanagement bezieht.
Der http Server selbst ist ja durch Benutzerrechte vom Rest abgeschottet, so dass man schon mehrere Lücken ausnutzen muss, um das System zu übernehmen.

Habe die Free Variante von ESXi 5 am laufen.

Zwei Netzwerkkarten eine davon ist ROT (boese) und eine GRUEN (gut). Dann habe ich eine VMWare die bekommt ROT und GRUEN auf der laeuft die ENDIAN Firewall (Free und umfangreich). Da wird dann GRUEN und ROT entsprechend konfiguriert und gerouted

Dann gibts noch eine VM mit Ubuntu Server als Fileserver die bekommt natuerlich nur GRUEN und eine Windows VMWare mit PS3 Media Server fuer Filmstreaming und iTuens fuer Streaming an Apple TV. Die gestreamten Daten holt die Windows VMWare jeweils vom Ubuntu Fileserver.

Dies ist auch bei 20GB HD Filmen kein Problem da der virtuelle ESXi Switch (an dem GRUEN haengt) intern mit 10GBps arbeitet. Vorausgesetzt ist das man als Network Interface in der VM nicht E1000 nimmt sondern VMXNET3.

Am gruenen physikalischen Port haengt dann noch ein WLAN AP und ein Gigabitswitch fuer PC, PS3 (WLAN geht nicht da zu langsam fuer HD Streaming), Network Printer etc.

Das ganze rennt auf einen i7 860 der hier im Schrank rumlag und 16GB RAM und 3 TB Platten gesamt

ich sehe ehrlich gesagt kein großes problem darin alles auf einem server laufen zu lassen so lange er richtig konfiguriert ist und nicht irgendwelche public-freigaben ins internet oder unnötig offene ports/dienste hat und immer aktuell gehalten wird.

als system käme vieles in frage, u.a. ubuntu-server, debian oder centos. von gentoo würde ich eher abraten weil du da erstens leichter was falsch konfigurieren kannst und zweitens eine source-distri totale resourcenverschwendung ist weil du dauernd stundenlang irgendwas kompilieren musst wenn du es aktuell halten willst. außerdem stehen dahinter viel weniger aktive entwickler als hinter debian/ubuntu und centos/RHEL.

+1.

Debian / Ubuntu + raspppoe + sauber konfiguriertes Iptables mit masquerade sollte gehen. Evtl. noch portscan um das Gewissen zu beruhigen. Für langsamere Rechner gnome runter und xfce drauf. Ist zzt sowieso die erste Wahl.

Obwohl ich zugeben muss, dass ich bei Rechnern die unbeaufsichtigt 24/365 laufen immer die irrationale Angst habe, dass da mal irgendwann das BilligNT über den Jordan geht und das Haus dann über Nacht abfackelt. brrrr