Zusätzliche Firewall sinnvoll?

Renngrizzly

Neuling
Thread Starter
Mitglied seit
14.04.2014
Beiträge
2
Hallo,

mein Heimnetzwerk besteht aus einer FritzBox 7490, die gleichzeitig als WLAN - Accesspoint für zwei Laptops (meiner Frau und meinen), iPhone, iPad und einen WLAN-Netzwerkdrucker dient, sowie per DSL (8,2) im Internet hängt.

In meinem Büro steht das restliche Netzwerk, bestehend aus einem Windows PC, einem Linux PC, zwei Linuxservern (Eigenbau mit diversen VMs), einer QNAP - NAS sowie zwei Raspberries (1xDNS und DHCP, 1xNagios). Diese sind zusammen per GB - LAN verbunden (an einem Netgear Router). Das ganze Teilnetz hängt wiederum an einer Buffalo Linkstation, welche als Bridge zur Verbindung mit der Fritz via WLAN dient.

Leider ist es nicht möglich, das Teilnetz mit der Fritz per Kabel zu verbinden, da das Kabel quer durch den Flur und Wohnzimmer liegen müßte und da sagt meine Frau kategorisch nein. Steht also nicht zur Diskussion :confused:

Da das Teilnetzwerk in meinem Büro lediglich per LAN verbunden ist und keinen zusätzlichen WLAN bietet, bin ich jetzt am Überlegen, diesen als eigene DMZ auszugliedern und mit einer eigenen Firewall absichern.

Leider kenne ich mich mit Firewalls wenig aus, daher meine Fragen an Euch:

1. Ist dies sinnvoll? :d

2. Würdet Ihr mir eher zu einer Raspbian-basierten Linuxfirewall raten oder zu einem bereits vorkonfiguriertem System? Ich kenne mich zwar mit Firewalls nicht so gut aus, aber iptables ist kein Fremdwort.

3. Ich würde gern die Rechte der beiden Laptops (feste IP) so beschränken, daß sie lediglich auf einzelne Sambashares der NAS zugreifen dürfen und sonst nichts mehr. Andere Shares sowie die von restlichen Systemen angebotene Dienste (außer DNS und DHCP des Raspberries) sollen untersagt werden und nur von der DMZ selbst erreichbar sein. Ebenso sollen keine weiteren Geräte überhaupt durch die Firewall von außen in das Teilnetzwerk reinkommen können.

Der Gedanke ist, daß immer wieder Leute wie Besucher (vor allem der Kinder) kommen, die sich schon mal an einen der beiden Laptops setzen. Sollte man das WLAN gehackt werden oder eines der Besucher Unsinn treiben, würden sie dennoch nicht in der Lage sein, die wirklich wichtigen Daten auf den Bürorechnern anzugreifen. Ja, das Büro ist übrigens abgeschlossen ;-)

Ich fürchte, mit Firewall kann ich lediglich den Zugriff auf einzelne Dienste und Server eingrenzen, aber vermutlich nicht auf der Ebene einzelner Shares? Gut, ich könnte diese als eigene VM aufsetzen, aber erst einmal möchte ich gern wissen, ob es auch so geht.

Danke!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nein, ist meiner Meinung nach überflüssig, ein ähnliches Thema hatten wir bereits vor ein paar Monaten.
http://www.hardwareluxx.de/community/f101/hardware-firewall-im-privat-haushalt-1002321.html
Für Gäste gibt es in der Fritz!Box extra eine Gast-Wlan-Funktion mit DMZ.

Statt einer lumpigen Wlan-Bridge mit mäßiger Verbindungsqualität empfehle ich den Einsatz von Power-Lan. Da bekommt man dann auch halbwegs brauchbare Übertragungsraten ohne mordsmäßigen Packageloss und Delay mit hin. 100Mbit in der Praxis sind damit keine Seltenheit sondern eher die Regel was man bei Wlan ja nur selten erreicht und wenn auch immer sehr wechselhaft da stark von Ausseneinflüssen abhängig (Nachbarn usw.) und nicht konstant.

Netzwerk LAN/Modems » Power-LAN mit Hersteller: TP-Link, Gelistet seit: ab 2012
TP-Link ist gut und günstig, AVM und Devolo sind einfach nur maßlos überteuert.

c't - kurz vorgestellt | Gigabit-Powerline | Schlauer statt breiter
ct.0914.060-061.neu2_table_5989.jpg


Und bevor du fragst: Die 1000mbit Adapter gibt es noch nicht am Markt, das wird noch etwas dauern.

Die Einschränkungen für Fileshares macht man bei jeweiligen Dienst selber (smb.conf) und nicht über eine Firewall. Alles andere ist schon recht speziell und würde bei korrekter Durchführung Vlans erfordern, eine Lösung mit simplen Router halte ich persönlich für zu unflexibel und nervig zu verwalten, aber durchaus machbar. Aber Vlans erfordern besondere Hardware, und besonders mit Wlan wird das teuer und/oder sehr aufwendig. Überlege dir lieber drei mal ob du dir das wirklich antun willst. ;)

VLAN: Virtuelles LAN | heise Netze
Netzwerke in kleinen Unternehmen virtualisieren - Switche und VLANs | Netzwerke virtualisieren | TecChannel.de
VLAN im WLAN - administrator.de

Wenn es dennoch irgendeine Firewall werden soll, dann pfSense (FreeBSD) oder IPFire (Linux). pfSense kann man auch professionell nutzen, IPFire ist mehr so für den SOHO-Bereich.
Iptables allein ist ja schön und gut, nur man will ja auch irgendwann mal fertig werden und nicht für jede Konfigurationsänderung Ewigkeiten Regeln tippen.
 
Zuletzt bearbeitet:
+1

- Powerlan muss man wirklich ausprobieren...das hängt sehr vom individuellen Umfeld ab.
- bei der Fritz geht auch Gast-LAN -> LAN-Gastzugang in FRITZ!Box einrichten | FRITZ!Box 7490 | AVM-SKB ...wenn Powerlan gut funzt, ist das wirklich die richtige Option u Büro und Heim an der Fritz zu trennen.
- Alternatven zu Powerlan sind PowerCoax, also über die TV-Kabel im Haus...da das Kabel geschirmt ist, liefert es potentiell stabilere Verbindungen...die Adapter gibt es aber wohl nur mit 200mbit. -> http://geizhals.de/?cat=dlan&asuch=coax&v=e&filter=aktualisieren&bl1_id=30&sort=t&xf=954_Kit#xf_top
 
Zuletzt bearbeitet:
+1

-Überlege es dir ganz gut, inwieweit die Aussagen eines GrafikTreibers zum Thema Firewall verlässlich sind.
 
+1

-Überlege es dir ganz gut, inwieweit die Aussagen eines GrafikTreibers zum Thema Firewall verlässlich sind.
?
Und dafür hast du dich extra registriert? Gib dir beim nächsten mal mehr Mühe beim Witze(?) reißen oder geh wieder zurück auf die Trollwiese. :p
 
Zuletzt bearbeitet:
In meinem Büro steht das restliche Netzwerk, bestehend aus einem Windows PC, einem Linux PC, zwei Linuxservern (Eigenbau mit diversen VMs), einer QNAP - NAS sowie zwei Raspberries (1xDNS und DHCP, 1xNagios). Diese sind zusammen per GB - LAN verbunden (an einem Netgear Router). Das ganze Teilnetz hängt wiederum an einer Buffalo Linkstation, welche als Bridge zur Verbindung mit der Fritz via WLAN dient.

...welche Rolle spielt eigentlich der Netgear genau...wenn das ein Router ist und Du I-Net über die Fritz besorgst, hast Du dich schon ne Firewall im Büro....oder ist es nur ein Switch?

Alternative wäre, dass die Qnap evtl zwei Interfaces hat?...dann hängst Du eine Seite ins Heimnetz und die andere ins Büronetz.
Zugriff auf Shares regelst Du im Qnap, Client oder User-basiert.
 
Ein Raspberry taugt ohnehin nicht mehr als für kleine Sachen wie DHCP oder DNS. Der Prozessor auf dem Ding ist einfach uralt und zu kaum was ernsthaft zu gebrauchen. Die Netzwerkperformance müsste extrem schlecht sein (vlt ISDN-mäßig), wenn du da wirklich USB-NICs dran hängen willst. Zudem ist der USB-Stack vom Raspberry extrem verbuggt, sowas hab ich noch nicht erlebt, reicht gerade so für Tastaturen.
PC Engines apu1c product file < dies müsste gerade noch so reichen für den Heimgebrauch (~50 Mbit/s Internet maximal je nach installieren Programmen). Da kannst du dir pfsense drauf machen und DMZ machen.
 
Hallo,

vielen Dank für Eure Antworten.

Dass die Fritz Gastzugang bietet, ist mir bewusst. Da habe ich eigentlich auch weniger Sorgen. Das Problem ist eher, daß sich an diese beiden Laptops im Haushalt, die in der Regel im normalen WLAN hängen, auch andere Personen gesetzt werden. Typisches Beispiel: mein Sohn läßt mal seinen Schulkumpel daran und geht auf Toilette. Aktuell verhindern nur die Zugriffsbeschränkungen der QNAP, daß man durch ein Laptop zum Beispiel auf die sensiblen Firmenunterlagen (Freiberufler) oder Bankdaten zugreifen kann. Das ist mir etwas unsicher. Deswegen denke ich darüber nach, das Büro-LAN soweit wie möglich zu entkoppeln.

Na ja, die lumpige WLAN Bridge ist ein AC-Netzwerk. Sie erreicht, laut Fritz, problemlos 250 Mbit in der aktuellen Verbindung, teilweise sogar noch mehr. Kann da PowerLan mithalten? Außerdem, dies reicht dicke aus. Immerhin hat das Internet gerade mal 8,2 Mbit (laut Fritz) und die beiden Laptops greifen nur hin und wieder auf einzelne Textdateien zu. Die Hauptlast wird im Büronetzwerk intern durchgeführt und der ist miteinander komplett via Gigabit-Lan verbunden. Da ich im Büro meistens nur alleine arbeite, greift selten mehr als ein Rechner gleichzeitig über die Bridge auf das Internet zu. Bisher konnte ich mit der Performance gut leben. Ich bin allerdings gerade eifrig wegen einem LAN Kabel am Verhandeln :hail:

@Widdo: nein, das Raspberry hat normalen LAN-ANschluss, kein USB. Jedenfalls bei DNS merke ich keine Verlangsamung, die Performance scheint dafür völlig ausreichend zu sein.

@Hominidae: danke für den Vorschlag. Im Hause gibt es aber leider (oder zum Glück) kein Kabel TV. Der Netgear SWITCH (richtig, kein Router, sorry) verbindet die einzelnen Maschinen im Büro zusammen, damit sie per LAN gekoppelt sind. Ja, die QNAP hat zwei Anschlüsse, aktuell sind beide im selben Netz. ABer ein interessanter Vorschlag, danke!

Grüße und Danke!
 
Ich meinte für eine Firewall sollte man schon mehr als 1 Lan-Anschluss einplanen. Daher das das Apu1c ja auch 3 Stück.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh