[Kaufberatung] Hardware Firewall im privat Haushalt

Ein Alix-Board reicht nicht mehr für moderne Anschlüsse mit 50mbit aus sofern man irgendwelche extra Dienste wie VPN nutzt, von daher würde ich heutzutage kein Alix-Board mehr kaufen.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich glaube auch Grafiktreibers und mein Hauptpunkt ist einfach dass viele das interessant finden so ne Firewall hinzustellen, irgendwann haben sie keine Lust mehr dazu und dann fliegt sie raus. Deswegen schlage ich immer die Mini Max Lösung vor. 200 Euro die man nicht nutzt, sind 200 Euro die man nicht für andere Dinge hat.
 
Firewalls oder besser Gateways (hinter einem Router welcher wohl bei jedem aktuellen Privatanschluß läuft) sind nur in 3 Fällen sinnvoll:

Beschränkung des internen/der internen Netze für Zugriff aufs Internet wenn der Router das nicht schon selbst bietet
Mehrere interne Netzwerke (WG´s etc) welche evtl gesonderte Subnetze haben oder/und gesonderte Traffic Quotas brauchen wenn der Router das nicht schon selbst bietet
spezielle Umleitungen für Traffic auf Proxies/VPNs nach URLs/ips wenn der Router das nicht schon selbst bietet

zu 99,9% ist aber privat ein guter Router mehr als ausreichend und ordentlich konfiguriert auch mehr als ausreichend für jede Sicherheit (und beherrscht auch QOS/Shaping etc)

selbst ne 0815 Fritzbox bieten imho schon fast alles außer den selektiven umleitungen auf VPN´s oder proxis
 
Zuletzt bearbeitet:
Das Alix Board würde mir nicht zusagen, da ich eine 19" Lösung suche und das Board einfach soo da rein zu packen finde ich nicht soo schön.
Sollte man irgendwann keine Lust mehr haben sich um die Firewall zu kümmern, kann man sie ja immer noch verkaufen ;)
Um die Möglichkeiten einer Fritz!Box nutzen zu können, benötige ich erstmal eine :d unser Provider ist momentan die Telekom und somit haben wir einen "wunderschönen" Speedport, den ich richtig unübersichtlich und kompliziert finde, zu mindestens im Vergleich zur Fritz!Box.
 
Das Alix Board würde mir nicht zusagen, da ich eine 19" Lösung suche und das Board einfach soo da rein zu packen finde ich nicht soo schön.
Sollte man irgendwann keine Lust mehr haben sich um die Firewall zu kümmern, kann man sie ja immer noch verkaufen ;)
Um die Möglichkeiten einer Fritz!Box nutzen zu können, benötige ich erstmal eine :d unser Provider ist momentan die Telekom und somit haben wir einen "wunderschönen" Speedport, den ich richtig unübersichtlich und kompliziert finde, zu mindestens im Vergleich zur Fritz!Box.

welcher, die meisten sind auch nur Fritzboxen ... Speedport2Fritz (wobei andere wesentlich potenter sind und man den Speedport auch als reines Modem nutzen kann)
 
Zuletzt bearbeitet:
Das Alix Board würde mir nicht zusagen, da ich eine 19" Lösung suche und das Board einfach soo da rein zu packen finde ich nicht soo schön.
Sollte man irgendwann keine Lust mehr haben sich um die Firewall zu kümmern, kann man sie ja immer noch verkaufen ;)
Um die Möglichkeiten einer Fritz!Box nutzen zu können, benötige ich erstmal eine :d unser Provider ist momentan die Telekom und somit haben wir einen "wunderschönen" Speedport, den ich richtig unübersichtlich und kompliziert finde, zu mindestens im Vergleich zur Fritz!Box.
Für das Alix gibt es auch 19"-Gehäuse, käme also trotzdem in Frage. Aber wie schon gesagt:
Habe aktuell selber ein Alix-Board mit zwei mal VDSL 50mbit. Rein zum Routen reicht es aus, aber sobald durch Open-VPN ein paar Mbit Traffic geht kommt das Gerät nicht mehr wirklich (CPU-load ständig bei 85-100%) mit und hat schon Probleme den normalen Internetverkehr auf beiden Leitungen mit jeweils 50mbit zu bedienen. Wenn man snort (IDS, nur zum Testen, für zu Hause brauche ich so etwas nicht, ist Schwachsinn) machte das Gerät schon damals mit 2x ADSL2 16.000 schlapp.

Ich spiele daher gerade mit dem Gedanken mir einen besagten DrayTek Vigor 2860Vn+ zu kaufen, die Geräte stelle ich auch bei Firmen meistens hin. Das Gerät kann alles was man so braucht (Triple-WAN, Dual-Band-Wlan mit zentraler AP-Verwaltung, Multi-SSIDs vLan, VPN, Contentfilter, QoS, USB-Printserver...), das einzige "größere Feature" das fehlt im Vergleich zu einer der großen Softwarefirewalls ist halt ein IDS, was aber eh viel viel mehr Rechenleistung benötigt (mindestens aktueller Dual-Core Atom, besser Quadcore Xeon) damit es mit hohen Internetgeschwindigkeiten läuft und für zu Hause und für die meisten kleinen Firmen sowieso völlig überflüssig ist. Ich würde damit 3 Geräte einsparen und meinen Stromverbrauch halbieren, hätte statt Alix-Board, zwei Modems, Switch und Wlan AP nun nur noch Router und ein extra Modem für den zweiten VDSL-Anschluss, eines ist ja bereits integriert.

Andere Möglichkeit wäre ein neues Atom-Gerät mit pfSense, aber ich würde dafür nur für Dauerbetrieb ausgelegte Hardware hinstellen wollen, und da wäre ich dann mit mindestens ca. 350€ dabei. Nur sind hier nicht die Anschaffungskosten höher sondern auch die Stromkosten wieder ca. 3 bis 4 mal höher als bei der DrayTek-Lösung.

Vernünftiger und wirtschaftlicher wäre also die erste Lösung, aber so wirklich will ich mich von meiner "coolen" pfsense-Lösung nicht trennen, obwohl ich sie eigentlich nicht brauche. Ich kann also dein verlangen nach so einer x86-Firewall etwas nach vollziehen. ;)
Ich denke aber dass ich mich bald besinnen kann und die vernünftige und wirtschaftliche Entscheidung treffe. :fresse:

welcher, die meisten sind auch nur Fritzboxen ... Speedport2Fritz (wobei andere wesentlich potenter sind und man den Speedport auch als reines Modem nutzen kann)
Die Speedports ab 2010 aufwärts sind aber leider keine Fritz!Boxen mehr, ich glaube auch nicht mehr dass sie das in Zukunft wieder sein werden, siehe wikipedia.de - Speeport.
 
Zuletzt bearbeitet:
Ich verstehe nicht, wie man eine Hardwarefirewall haben können möchte, dann aber von den Grundlagen keine Ahnung hat und so eine Frage stellt:

@brunick
@AliManali Eine DMZ werde ich wohl benötigen, wenn ich von unterwegs aus Daten auf meine Cloud laden möchte. (wird das überhaupt etwas ohne statischer IP?)

Dein Stichwort ist: DDNS
 
Achso, dass wusste ich nu nicht, hatte das Alix Board nicht als 19" Version gesehen ;)
Ich hab zu Hause noch einen älteren W701V, der müsste eig vor 2010 erschienen sein, werde da heut abend mal nach schauen. Habt ihr schon mal einen Speedport gefritzt?

@ NTB Warum ich eine Hardwarefirewall haben möchte, um mich mit der ganzen Netzwerktechnik und soo auseinander zu setzen.
 
Alix-Boards in 19"-Gehäusen findest du bei pfSense, PC Engines, ALIX - varia-store.com. Du bezahlst aber nur für das Gehäuse einen Aufpreis von ca. 110€, also mir wäre es das nicht wirklich wert und ich würde es in einem 19" Schrank einfach in einen Leerboden zusammen mit den Modems legen, so verschwendet man dann auch nicht eine ganze Höheneinheit für ein so kleines Gerät, aber muss ja jeder selbst wissen.

Einen W701V zu fritzen ist grundsätzlich eine gute Idee und auch sehr einfach, bedenke aber dass AVM in den neueren Firmware-Version ab 2012 die Möglichkeit die Fritz!Box als reine DSL-Bridge zu verwenden deaktiviert hat.
Das ist für den Anwendungszweck Hardware-Firewall nicht wirklich gut weil man dann alle Ports durch NATten müßte, problematisch bei VPNs wenn der DSL-Router dann kein NAT-T kann, schlecht auch performance-mäßig weil die Hardware-Firewall einfach mehr Rechenleistung für mehr Durchsatz bei vielen Verbindungen hat.
Gut, für DSL 16.000 nicht so interessant, aber später für VSDL 100.000 mit Vectoring. Viele der alten VDSL-Router werden zwar dann ein Firmware-Upgrade für Vectoring bekommen, nur viele haben nicht genug Rechenleistung um diese Leitungen dann überhaupt ordentlich zu bedienen, da kann das Modem dann noch so hoch syncen, die CPU kommt einfach nicht hinterher.
 
Zuletzt bearbeitet:
DMZ = DeMilitarizedZone
Im Klartext: Der Host in der DMZ hängt direkt im Internet - Das bedutet irgendeine Firewall ist schlichtweg nicht wirksam (die Firewall schottet das restliche Netzwerk vom Internet ab)

So willst du deine OwnCloud Lösung von außen erreichbar machen?
Dann solltest du dich lieber damit ausseinander setzen, wie du die OwnCloud-Lösung gegen Angriffe aus dem Internet härten kannst!

Ich habe an einem beliebigen Internetanschluss (Telekom, Alice) den jeweils normalen Router des Anbieters. Auf diesem ist jeweils eine DMZ/virtuelle DMZ bzw. ein exposed Host eingerichtet.
Dahinter hängt dann ein VPN Gateway - eben als exposed Host bzw. in der DMZ.
Die Produkte meiner Wahl sind hier Netgear Prosafe VPN-Gateway/Router mit SPI-Firewall (auch wenn ich den Support von Netgear z.K. finde - da diese ein sehr gutes P/L Verhältnis haben)

FVS318G (Würde bei VDSL nicht mehr reichen)
1xWAN / 8x GBit LAN / 5 IPSEC VPN Tunnel + 2 SSL VPN Tunnel
LAN-WAN Durchsatz : 25 Mbit/s

FVS318N
1xWAN / 8x GBit LAN + 2,4 GHz Wlan b/g/n / 12 IPSEC VPN Tunnel + 2 SSL VPN Tunnel
LAN-WAN Durchsatz : 95 Mbit/s

FVS336G
1xWAN / 4x GBit LAN / 25 IPSEC VPN Tunnel (16Mbps) + 10 SSL VPN Tunnel (10 Mbps)
LAN-WAN Durchsatz: 60 Mbit/s
 
Also ich würde sagen, wenn Du Dir eine eigene Firewall konfigurieren willst, dann solltest Du Dir genau anschauen, wie Firewalls aufgebaut werden und z.B. dann erst einmal alles sperren. Erst dann wird nach und nach das geöffnet, was man braucht. Sprich, von wo nach wo welcher Port. Nur so macht es Sinn, eine Firewall extra auf zu bauen. Also setz dir keine extra Firewall hin und sag dem "alles von innen nach draußen ist ok". Dann kannste es gleich lassen.
Was dann gleich wieder heißt, eine menge Arbeit und Recherchen, da Du für jeden Dienst und jedes Programm unter Umständen nachschauen musst und dann entsprechend konfigurieren musst.
Der Vorteil, an einer IPFire z.B., ist, das Du, falls Du Kinder hast, dann einen Proxy mit einschalten kannst und ein Filterung einsetzen kannst. Also bestimmte Seiten / Domänen Sperren, oder ein so genanntes Content Filterung (Suchen nach Stichworten auf den Seiten) einsetzen kannst. So könntest Du dann also auch sowas wie P*rn* sperren lassen, etc.
Aber unterschätz das echt nicht. Das bedeutet wirklich viel Arbeit und ne Menge Lernen und Recherchen. Dazu kommt, auch wenn Du eine fertige Distribution nimmst, solltest Du Dich mit Linux anfangen generell auseinander zu setzen, damit Du auch mal unter die Haube gehen kannst, um Sachen zu korrigieren bzw. zu verbessern. Auch für den Fall, das Du das Ding mal an die Wand konfigurierst musst Du wissen, wie Du das rettest, ohne alles neu zu machen.
 
ich hau hier einfach mal n paar bilder rein, ist fast fertig - kommt morgen ins rack

20140123_234738.jpg

20140123_234744.jpg

20140123_234820.jpg

20140123_234831.jpg

20140123_234901.jpg

sind nur handy-bilder, quali ebenso -.-

hardware:
  • J&W Mainboard, Intel Atom 2550 2x1.86Ghz
  • Externes Netzteil vom Board
  • 2x 2GB DDR3 (ausm alten Laptop)
  • TP-Link WDN3800 (300Mbit, kommen leider nur 144Mbit an - evtl kommt hier noch was anderes rein
  • Lexar 16GB usb Stick als hdd
  • Supermicro 1He gehäuse
  • PearlDisplay per LCD4Linux mit Ausgabe von Traffic etc

System-Software ist ipFire, konnte als internen Router (Lan <-> Lan) mit Snort an 0.9-1Gbit übertragen
schon reichlich Leistung das Ding, werd wohl meinen alten Wlan Router dennoch mit im netz lassen und ein "Gast-Wlan" machen,
das komplett beschränkt ist und mein anderes Wlan, welches mit WPA2-Enterprise läuft nur für mich nutzen :)

Ach ja, der 40mm Lüfter macht schon gut lärm, bleibt zwar unter 30dB, aber morgen wird Caseking mir 3 Noiseblocker liefern,
die dann max 14dB machen :d
 
Zuletzt bearbeitet:
Ihr Barebone - Kaum ein Knochen - Schlauberger... die PC (Ersatz-Hardware) Firewall + Linux Software Free Firewalls werden nichts bringen, in jeder Intel und Amd CPU ist ein DoD Trojaner...ihr braucht Hersteller ausserhalb des NWO-Spektrums...absolute Sicherheit gibt es nur dann, wenn die U.S. Geheimdienste draussen bleiben.

Bsp. Facebook (ohne VPN) (U.S. Militär-Zentrale)..hat mir jedes Laptop-Linux abgeschossen (ob nur mit Live-CD oder HD) und bei Microsoft Windows auch, selbst mit komplexen Desktop-Chain-Firewalls.. (3 Verschachtelungen etc... 1 Milliarden IP Blockaden) 1 Knopf von ihrem U.S. Space Command und der Rechner freezed. Die CPUs sind alle gebackdoored...und sie benutzen einen Stealth-Browser Tunnel (0.0.0.0), um in eure Systeme zu schleichen, bei Windows infizieren sie bei Facebook sofort den svchost und kein AV-Program wird es finden, das ist wohl so abgemacht worden von der NWO-Korporatokratie Täuschungsklique.

Für das Höchstmaß an Sicherheit reicht weder die Windows- noch eine Desktop-Firewall aus. Der Grund: Software kann Sicherheitslücken aufweisen. Die perfekte Lösung ist eine Hardware-Firewall, die zwischen Internet und PC sitzt.

Bei Cisco weiss man leider auch, dass die alle NSA-manipuliert sind...also CISCO Hardware Firewalls, werden keine effektive Sicherheit bieten können, denn der HAUPTHACKER ist heutzutage nur noch der STAAT! (U.S. Gov) Geisteskrankerweise. (mag auch nur bei 1-5% der Bevölkerung bemerkt werden, a, weil sie IT-Spezialisten sind und b, wenn sie mal zufällig auf der schwarzen Liste der NWO/von Silicon Valley landen)

Keine Schein-Security...wir brauchen REAL-Security, d.h. alle 20-50 Geheimdienste (korporative Syndikats**********) müssen abgeblockt werden können.
 
Zuletzt bearbeitet:
Alles klar, Alta. Nur überflogen. Meine Zywall läuft nur als Router, und Whatsapp brauch ich nicht. Hast ja sicher recht.

Edit:

...und wie Du recht hast. Kannst Dich bemühen wie Du willst im Bereich bzg. "schützen der persönlichen Daten", egal ob die zu Hause oder der Cloud sind. Je mehr Du da investiert, desto weniger Schutz hast Du. Zumindest hier im Laborbereich siehts so aus. Laptop und Router wäre sicherer, wie der ganze Crap, den ich da betreibe. Könnte jetzt gerne noch meine ganzen gesammelten Pamphlete dazu loswerden, aba lass mal. Gibt nur Streit mit irgendwem.
 
Zuletzt bearbeitet:
Aluhut auf ! Sonst kommen die womöglich noch in den Hohlraum zwischen den Ohren rein, natürlich über den 0.0.0.0 Tunnel :fresse2:
 
Ich hoffe, Beitrag #43 fällt unter die Kategorie Ironie, ernst gemeint kann das ja wohl nicht sein, so viel sh1ce steht da drin... Mehr Lügen verbreitet wohl nur mehr der Onkel Donald aus Amerika.
Ich wette zu 99% ist der Fehler vor dem PC gesessen, und da war kein pöhser Geheimdienst schuld an den Abstürzen. Kommt auch in den anderen Beiträgen des Users zur Geltung.
BTT: Man kann mit günstigen ARM Dev-Boards (z.B. Friendlyarm NanoPi R1, https://www.friendlyarm.com/index.php?route=product/product&path=69&product_id=248) auch nette Firewalls mit ordentlich Durchsatz (100Mbit/s Internet -> LAN, >100Mbit/s LAN -> DMZ) aber vernachlässigbarem Stromverbrauch (~1W) bauen. Man muss halt wissen, was man tut. Als Managementoberfläche gibt es den Fwbuilder, den installiert man sich auf einem Management-PC. Außerdem ist ein Manageable Switch absolute Pflicht, wenn man vor hat, das Netz zu segmentieren in Verbindung mit DMZ - Ist aber auch der einzige Grund zu Hause eine Firewall zu betreiben. Das macht außerdem auch nur dann Sinn, wenn nicht nur eingehende Verbindungen eingeschränkt werden.
Ich bin diesen Schritt gegangen, das Resultat sind ca. 100 Firewallregeln bis zur Cleanup-Rule. Außerdem wurde noch ein Proxy zur Webfilterung (Werbung & Co.) aufgesetzt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh