vor einigen Wochen habe ich meinen DSL Tarif auf eine VDSL 50 mbit Leitung upgegradet und im Zuge dessen einen neuen Router bekommen.
Der alte Router war mit einer URL Sperrliste ausgerüstet, die mir viele Sorgen ersparte, z.B. um die ganzen Spycrosoft Telemetrie IPs und URL zu sperren.
Leider kann der neue Router so gut wie gar nichts, geschweige denn eine URL Sperrliste anbieten.
Daher suche ich nun einen Ersatz in Form einer kleinen Hardware Firewall.
Dummerweise lege ich auf ein paar Kleinigkeiten Wert:
- Einfach zu konfigurieren
- Günstig
- Strom sparend
Anfangs hatte ich gehofft, ich könnte das mit einem Raspberry lösen, es scheitert aber an der fehlenden zweiten NIC.
Kennt Ihr solche Geräte oder wisst Ihr eine andere Lösung?
Alter Router, neuer Router - was sind das denn für Modelle, die beiden Router?
Mit der passenden Konfig kannst du den alten Router weiter betreiben, nämlich als Router-Kaskade hinter dem neuen Router.... Um das zu konkretisieren musste aber ein paar Infos mehr hier lassen...
Cheers,
Joshua
select * from USERS where IQ > 60
0 rows returned.
Hat der Raspberry Pi überhaupt die Power für eine Firewall, welche bis zu 50 Mbit Durchsatz bewältigen muss?
Zum APU-Board: Ein Kumpel hat mir kürzlichst berichtet, dass er mit OPNSense wesentlich zufriedener ist als mit PFsense. Letzterer wird wohl immer schlechter gewartet...
Ein Kaskadieren der beiden Router ist natürlich möglich, allerdings brauchen beide dann bis zu 50 Watt -> zuviel.
Zumal mir die Liste mit 30 Einträgen nicht reicht. 1000 wären akzeptabel...
Das Geraffel mit einem USB2LAN Adapter für einen (noch nicht vorhandenen) RPi kam mir auch schon in den Sinn, ist aber auch irgendwie ein bisschen Gebastel.
Wenn irgendwas nicht korrekt funktioniert, weiss man nie, ob es nicht auch daran liegen könnte.
Hätte nicht gedacht, dass es so schwierig werden würde, eine kleine Firewall zu bekommen...
Um beides.
Kein Rechner hier soll z.B. Telemetriedaten an Microsoft senden können, ebensowenig wie Steam @ Co.
Auch will ich u.a. verhindern, das Emailclients Scripte in Emails ausführen und nach Hause telefonieren.
Ähnliches gilt eigentlich für alle Programme, die hier genutzt werden.
Heutzutage ist es normal, dass alle verfügbaren, sammelbaren Informationen über den Besitzer, Nutzer und Rechner ungefragt an möglichst viele verschiedene Firmen versendet werden.
Ich versuche, dies zu unterbinden.
Ok, du hast mittels HOSTS-Datei die Möglichkeit, eine unbegrenzt lange URL-Sperrliste zu definieren. Die kannst du per Skript auf all deine Rechner verteilen.
Und eine Application Layer Firewall -die dann pro Applikation entscheiden kann, was mit den Daten passiert- ist in keinem mir bekannten Router aus dem SoHo-Bereich vorhanden. Da müsstest du schon zu ner Cisco greifen und die entsprechenden Dienste dazukaufen (oder eben vergleichbar).
das Sperren via hosts ist offensichtlich nicht immer erfolgreich, viele der Microsoft IPs und URLs sind im TCP/IP Stack fest verdrahtet und ignorieren die hosts. Zudem benötige ich zum direkten Adressieren auf IPs keine hosts.
Vor allem auf computerbase gibt es dazu interessante Threads.
Eine Firewall mit Application Layer Gateway wäre natürlich toll, muss aber nicht sein - und würde wahrscheinlich auch zu viel Strom saugen.
IP Adressen, URLs, Ports sperren und eine Monitoring Funktion würde erst mal reichen.
Du wirfst hier so einige Dinge durcheinander:
Eine URL-Sperrliste enthält per se keine IP-Adressen, sondern eben URLs. Wenn du IPs direkt sperren willst, ok, da kommste mit der HOSTS-Datei nicht weiter. Was das "fest verdrahtet" betrifft: Bezweifle ich - hast du Belege dafür?
Da du weiterhin verschweigst, was dir aktuell an Hardware zur Verfügung steht, kann ich schlecht beurteilen, was möglich wäre und was nicht.
Eine URL Sperrliste macht es einfach, z.B. den Browser an etwas zu hindern.
Klar, man könnte auch die IP des URL herausfinden, es geht so aber einfacher und schneller.
Und immer wieder wird man auch gezielt mit IPs konfrontiert, wo gar kein URL hintersteckt. Also IP Sperre.
Was habe ich denn da durcheinander geworfen?
Den Thread auf CB finde ich nicht so schnell wieder, das wurde dort aber immer wieder erwähnt. Ich bezweifele das überhaupt nicht.
Das Thema besonders in Bezug auf MS Telemetrie Daten & Co erklärt sich aber von selbst.
Ein Unterbinden der Spionagefunktion lediglich durch das Editieren der hosts wäre zu einfach für den User und die Funktion zu schnell auszuhebeln. Das weiss auch MS.
Die Router sind ordinäre Beipackrouter vom ISP, nicht mehr, nicht weniger.
opensense kann es bestimmt auch.
diese layer 7 traffic filter/shaper funktionalität ist in pf integriert, d.h. alle bsd varianten, die pf als firewall verwenden sollten es können
musst es ja nicht auf einem apu board laufen lassen.
ich betreibe mehrere davon, und vom alix board, bis zu einem hp dl360 ist alles dabei, hauptsache x86 bzw x64
und wenn dein switch vlans kann, dann brauchst du nicht mal mehrere netzwerkkarten.
man könnte so etwas auch mittels anderer firewall (auch plastik router firewall) und transparentem proxy umsetzen.
hier ein howto/beispiel mit ubuntu (iptables) und squid (weiter unten im text): https://wiki.ubuntuusers.de/Squid/
man legt in iptables eine regel an, die allen http/https traffic über den proxy leitet, hier lassen sich urls sperren und der traffic aller clients lässt sich loggen.
das ganze funktioniert natürlich auch mit pfsense, da sich hier freebsd pakete installieren lassen, kannst du z.b. squid installiern und wie oben beschrieben den traffic üben den squid leiten.
oder du installierst nur einen proxy und lässt den traffic von deinem vorhandenen router durch den proxy laufen...
Hat der Raspberry Pi überhaupt die Power für eine Firewall, welche bis zu 50 Mbit Durchsatz bewältigen muss?
50Mbit sind eher Kindergeburtstag, die Anzahl der Nutzer, für die zeitgleich ein NATting gemacht werden muss, ist eher die Krux. Aber ein RasPi3 stemmt das recht locker für ein Heimnetzwerk.