Computer Hardware Forum - TweakPC

Computer Hardware Forum - TweakPC (https://www.tweakpc.de/forum/)
-   Netzwerk (https://www.tweakpc.de/forum/netzwerk/)
-   -   Kleine Firewall gesucht (https://www.tweakpc.de/forum/netzwerk/102995-kleine-firewall-gesucht.html)

Raffnix 24.03.2016 19:02

Kleine Firewall gesucht
 
Hallo Kollegen,

vor einigen Wochen habe ich meinen DSL Tarif auf eine VDSL 50 mbit Leitung upgegradet und im Zuge dessen einen neuen Router bekommen.
Der alte Router war mit einer URL Sperrliste ausgerüstet, die mir viele Sorgen ersparte, z.B. um die ganzen Spycrosoft Telemetrie IPs und URL zu sperren.
Leider kann der neue Router so gut wie gar nichts, geschweige denn eine URL Sperrliste anbieten.

Daher suche ich nun einen Ersatz in Form einer kleinen Hardware Firewall.
Dummerweise lege ich auf ein paar Kleinigkeiten Wert:

- Einfach zu konfigurieren
- Günstig
- Strom sparend

Anfangs hatte ich gehofft, ich könnte das mit einem Raspberry lösen, es scheitert aber an der fehlenden zweiten NIC.
Kennt Ihr solche Geräte oder wisst Ihr eine andere Lösung?

Danke Euch! :wiwi:

RUN 27.03.2016 14:11

AW: Kleine Firewall gesucht
 
hi,

vielleicht nicht die billigste lösung, aber dafür robust, einfach und performant....:

ein apu board + sd karte + gehäuse + netzteil (optional mit wlan)
[URL="http://www.apu-board.de/"]PC Engines APU Boards und Zubehör[/URL]

und als os pfsense:
[URL]https://www.pfsense.org/[/URL]

eine tolle firewall mit guter doku:
[URL]https://doc.pfsense.org/index.php/Main_Page[/URL]
mit features wie multiwan, vlans, failover (transparent), es lassen sich freebsd pakete installieren (z.b. snort, asterisk, uvm)
[URL]https://doc.pfsense.org/index.php/Features_List[/URL]

Raffnix 27.03.2016 18:16

AW: Kleine Firewall gesucht
 
Gar nicht verkehrt und sehr flexibel.
Aber viel zu teuer und overkill.

Danke Dir aber für den Hinweis!

Joshua 28.03.2016 13:18

AW: Kleine Firewall gesucht
 
Moin.

Alter Router, neuer Router - was sind das denn für Modelle, die beiden Router?
Mit der passenden Konfig kannst du den alten Router weiter betreiben, nämlich als Router-Kaskade hinter dem neuen Router.... Um das zu konkretisieren musste aber ein paar Infos mehr hier lassen...

Cheers,
Joshua

Tweak-IT 28.03.2016 23:57

AW: Kleine Firewall gesucht
 
Schnapp dir doch für nen 10er einen USB to Ethernet Adapter für deinen RPI?

[url="http://www.amazon.de/LogiLink-Fast-Ethernet-RJ45-Adapter/dp/B0019CZGZW"]LogiLink Fast Ethernet USB 2.0 to RJ45 Adapter: Amazon.de: Computer & Zubehör@@AMEPARAM@@http://ecx.images-amazon.com/images/I/31tD-R5VJgL.@@AMEPARAM@@31tD-R5VJgL[/url]

[URL="http://elinux.org/RPi_USB_Ethernet_adapters"]RPi USB Ethernet adapters - eLinux.org[/URL]

Legion of the Damned 29.03.2016 15:55

AW: Kleine Firewall gesucht
 
Hat der Raspberry Pi überhaupt die Power für eine Firewall, welche bis zu 50 Mbit Durchsatz bewältigen muss?

Zum APU-Board: Ein Kumpel hat mir kürzlichst berichtet, dass er mit OPNSense wesentlich zufriedener ist als mit PFsense. Letzterer wird wohl immer schlechter gewartet...

Raffnix 29.03.2016 18:45

AW: Kleine Firewall gesucht
 
Ein Kaskadieren der beiden Router ist natürlich möglich, allerdings brauchen beide dann bis zu 50 Watt -> zuviel.
Zumal mir die Liste mit 30 Einträgen nicht reicht. 1000 wären akzeptabel...

Das Geraffel mit einem USB2LAN Adapter für einen (noch nicht vorhandenen) RPi kam mir auch schon in den Sinn, ist aber auch irgendwie ein bisschen Gebastel.
Wenn irgendwas nicht korrekt funktioniert, weiss man nie, ob es nicht auch daran liegen könnte.

Hätte nicht gedacht, dass es so schwierig werden würde, eine kleine Firewall zu bekommen... :nut:

Joshua 31.03.2016 19:10

AW: Kleine Firewall gesucht
 
N'Abend.

Firewall != URL-Filter. Um was geht's dir denn jetzt eigentlich?

Cheers,
Joshua

Raffnix 01.04.2016 08:14

AW: Kleine Firewall gesucht
 
Um beides.
Kein Rechner hier soll z.B. Telemetriedaten an Microsoft senden können, ebensowenig wie Steam @ Co.
Auch will ich u.a. verhindern, das Emailclients Scripte in Emails ausführen und nach Hause telefonieren.
Ähnliches gilt eigentlich für alle Programme, die hier genutzt werden.
Heutzutage ist es normal, dass alle verfügbaren, sammelbaren Informationen über den Besitzer, Nutzer und Rechner ungefragt an möglichst viele verschiedene Firmen versendet werden.
Ich versuche, dies zu unterbinden.

Joshua 01.04.2016 19:35

AW: Kleine Firewall gesucht
 
N'Abend.

Ok, du hast mittels HOSTS-Datei die Möglichkeit, eine unbegrenzt lange URL-Sperrliste zu definieren. Die kannst du per Skript auf all deine Rechner verteilen.

Und eine Application Layer Firewall -die dann pro Applikation entscheiden kann, was mit den Daten passiert- ist in keinem mir bekannten Router aus dem SoHo-Bereich vorhanden. Da müsstest du schon zu ner Cisco greifen und die entsprechenden Dienste dazukaufen (oder eben vergleichbar).

Cheers,
Joshua

Raffnix 02.04.2016 08:44

AW: Kleine Firewall gesucht
 
Hi Joshua,

das Sperren via hosts ist offensichtlich nicht immer erfolgreich, viele der Microsoft IPs und URLs sind im TCP/IP Stack fest verdrahtet und ignorieren die hosts. Zudem benötige ich zum direkten Adressieren auf IPs keine hosts.
Vor allem auf computerbase gibt es dazu interessante Threads.

Eine Firewall mit Application Layer Gateway wäre natürlich toll, muss aber nicht sein - und würde wahrscheinlich auch zu viel Strom saugen.
IP Adressen, URLs, Ports sperren und eine Monitoring Funktion würde erst mal reichen.

Joshua 02.04.2016 09:53

AW: Kleine Firewall gesucht
 
Moin.

Du wirfst hier so einige Dinge durcheinander:
Eine URL-Sperrliste enthält per se keine IP-Adressen, sondern eben URLs. Wenn du IPs direkt sperren willst, ok, da kommste mit der HOSTS-Datei nicht weiter. Was das "fest verdrahtet" betrifft: Bezweifle ich - hast du Belege dafür?

Da du weiterhin verschweigst, was dir aktuell an Hardware zur Verfügung steht, kann ich schlecht beurteilen, was möglich wäre und was nicht. ;-)

Cheers,
Joshua

Raffnix 02.04.2016 11:23

AW: Kleine Firewall gesucht
 
Eine URL Sperrliste macht es einfach, z.B. den Browser an etwas zu hindern.
Klar, man könnte auch die IP des URL herausfinden, es geht so aber einfacher und schneller.
Und immer wieder wird man auch gezielt mit IPs konfrontiert, wo gar kein URL hintersteckt. Also IP Sperre.
Was habe ich denn da durcheinander geworfen?

Den Thread auf CB finde ich nicht so schnell wieder, das wurde dort aber immer wieder erwähnt. Ich bezweifele das überhaupt nicht.
Das Thema besonders in Bezug auf MS Telemetrie Daten & Co erklärt sich aber von selbst.
Ein Unterbinden der Spionagefunktion lediglich durch das Editieren der hosts wäre zu einfach für den User und die Funktion zu schnell auszuhebeln. Das weiss auch MS.

Die Router sind ordinäre Beipackrouter vom ISP, nicht mehr, nicht weniger.

RUN 17.04.2016 12:49

AW: Kleine Firewall gesucht
 
[url]https://doc.pfsense.org/index.php/Layer_7[/url] ;-)
ist aber mit arbeit verbunden, lesen, lernen, testen.....

opensense kann es bestimmt auch.
diese layer 7 traffic filter/shaper funktionalität ist in pf integriert, d.h. alle bsd varianten, die pf als firewall verwenden sollten es können


musst es ja nicht auf einem apu board laufen lassen.
ich betreibe mehrere davon, und vom alix board, bis zu einem hp dl360 ist alles dabei, hauptsache x86 bzw x64
und wenn dein switch vlans kann, dann brauchst du nicht mal mehrere netzwerkkarten.


man könnte so etwas auch mittels anderer firewall (auch plastik router firewall) und transparentem proxy umsetzen.

hier ein howto/beispiel mit ubuntu (iptables) und squid (weiter unten im text):
[url]https://wiki.ubuntuusers.de/Squid/[/url]
man legt in iptables eine regel an, die allen http/https traffic über den proxy leitet, hier lassen sich urls sperren und der traffic aller clients lässt sich loggen.

das ganze funktioniert natürlich auch mit pfsense, da sich hier freebsd pakete installieren lassen, kannst du z.b. squid installiern und wie oben beschrieben den traffic üben den squid leiten.

oder du installierst nur einen proxy und lässt den traffic von deinem vorhandenen router durch den proxy laufen...

es gibt also mehrere wege das ganze umzusetzen.

baolinh 10.01.2019 10:55

AW: Kleine Firewall gesucht
 
Hat der Raspberry Pi überhaupt die Power für eine Firewall, welche bis zu 50 Mbit Durchsatz bewältigen muss?

------------------------------

[URL="https://www.w888club.net/"]w88thailand[/URL] the best [URL="https://www.w888club.net/w88-casino-club-w-premier-and-club-massimo/"]w88 คาสิโนออนไลน์[/URL]

Tweak-IT 10.01.2019 19:42

AW: Kleine Firewall gesucht
 
Also der RP 1 das wird schwer bei dem 3er Modell sollte das gehen.

Joshua 10.01.2019 20:21

AW: Kleine Firewall gesucht
 
N'Abend.
[QUOTE=baolinh;864485]Hat der Raspberry Pi überhaupt die Power für eine Firewall, welche bis zu 50 Mbit Durchsatz bewältigen muss?[/QUOTE]
50Mbit sind eher Kindergeburtstag, die Anzahl der Nutzer, für die zeitgleich ein NATting gemacht werden muss, ist eher die Krux. Aber ein RasPi3 stemmt das recht locker für ein Heimnetzwerk.

Cheers,
Joshua


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:58 Uhr.

Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.