Router Empfehlung für Firewall (iptables o. ä.)

D

der-matze

Enthusiast
Thread Starter
Mitglied seit
14.06.2004
Beiträge
1.395
Ich möchte mein Netzwerk gerne ein bisschen mehr absichern und direkt an den Internetanschluss eine Firewall wie iptables anstöpseln.

Als Hardware hatte ich einfach an einen einfachen Router gedacht, bespielt mit ddwrt oder openwrt.
Bei freetz läuft das ganze wohl nicht so richtig, daher fliegen die Fritzboxen raus.

Es soll ein Router mit Modem (adsl2+) sein, wieviele LAN ports und WLAN ist mir egal.

Hat jemand eine Empfehlung für einen günstigen Router, mit dem sich das realisieren lässt?

Sind die Pakete bei openwrt oder ddwrt schon enthalten (also hat die einfache Firewall den Umfang)?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...ja, beiden alternativen Firmwares haben iptables "drin"...allerdings haben, zumindest soweit ich das weiss, beide *kein* GUI dafür.
Also musst Du die config von Hand, mit Scripten bzw. Textfiles erstellen.

...wenn Du mehr willst, nimm einen PC mit IPCop/IPFire oder PFSense und ein exterens Modem.

Allerdings gibt es dd-wrt nicht für Router mit Modem...bei Openwrt gibt es diese zur Auswahl: Router mit Modem mit Besonderheiten: OpenWrt Preisvergleich | Geizhals Deutschland
Wie gut die wirklich damit funktionieren kann ich Dir leider nicht sagen.
 
Danke, das mit ddwrt und Router mit Modem wusste ich noch nicht.

Einen Rechner wollte ich mir dafür nicht hinstellen. Daher eher einen Router. Bei den Routern mit openwrt Unterstützung werde ich mal durch gucken.
 
Das hatte ich auch schon überlegt. Ist aber ungünstig, da ich den dann hinter die aktuelle Fritzbox mit Modem hängen müsste und hinter den RaspPi wiederum ein Gerät, das WLAN und LAN verteilt...

Das sind mir zu viele Geräte.

Ich schwanke ein wenig zwischen folgenden Möglichkeiten:
1. Billigen Router mit Modem, openwrt und Paketfilter, dahinter die aktuelle Fritzbox für LAN und WLAN
2. Router mit openwrt oder ddwrt für LAN, WLAN und Paketfilter hinter die aktuelle Fritzbox mit Modem
3. Fritzbox ersetzen, Router mit Modem, openwrt, Paketfilter, LAN und WLAN

Momentan tendiere ich zur letzten Variante, wobei das Gerät dann auch noch einen Anschluss für ein Telefon haben müsste, damit wird die Geschichte wieder schwierig...

Ich würde z. B. den Archer VR900v nehmen, der unterstützt auch gleich noch 5 GHz WLAN, und bei mir ist es bei 2,4 schon etwas voll. Dazu hat er Anschlüsse für ein Telefon, schnelles LAN usw. Der wird aber scheinbar von openwrt (noch) nicht unterstützt...
 
Zuletzt bearbeitet:
...wenn Telefon dabei ist, gibt es praktisch nur die Fritte als sinnvolles AiO-Gerät..
Das mit wäre Variante 2 der Königsweg.
 
Ich hatte den Beitrag nochmal ergänzt. Der Archer VR900v wäre was, aber bisher ohne Openwrt... Wäre halt auch eine Alternative zur Fritze.

Wenn das Gerät ordentliches WLAN verteilt, könnte ich mit sogar u. U. noch zwei Repeater sparen.
 
geht es dir ausschließlich um Sicherheit oder eher um größeren Funktionsumfang? Weil eine standardmäßig konfigurierte FritzBox ist schon sicher... da ist nämlich schon eine Firewall drin...
 
Das ist so etwas der Zwiespalt.

Aktuell möchte eigentlich nur mehr Sicherheit, und mit Paketfiltern soll man schon noch deutlich mehr erschlagen können, als mit der Standard-Firewall.

Andererseits wäre besseres WLAN bzw. mit Unterstützung von 5 GHz auch fein, dann könnte ich wie gesagt vielleicht zwei Repeater sparen und hätte Stabilität und Geschwindigkeit gewonnen...
 
also eine eierlegende Wollmilchsau die alles kann inkl. Modem ist mir nicht bekannt. Ich empfehle für sowas gerne den Nachfolger des beliebten ALIX-Boards, das APU 1d2 bzw 1d4. Da dann ein ipfire pfsense oder andere firewall drauf, dann hast du genug Rechenleistung für Proxygeschichten, Snort oder ähnliches. dort könntest du auch eine WLAN-Karte einbauen. Erfordert aber halt alles einen gewissen Bastel-/Konfigurationsaufwand bis alles läuft wie man es gerne haben möchte.

5 Ghz WLAN hat übrigens eine deutliche geringere Reichweite... glaube kaum, dass dir das Repeater spart.

grüße
 
MiniPC oder ähnliches werde ich mir nicht basteln/hinstellen, auch wenn das wohl eine gute Lösung wäre.

Was ist denn mit dem Archer VR900v? Werden die Geräte von TP-Link nicht eh 'irgendwann' von Openwrt unterstützt? Ich habe bei denen Null Überblick...

sasparillaX schrieb:
5 Ghz WLAN hat übrigens eine deutliche geringere Reichweite... glaube kaum, dass dir das Repeater spar.
Zum Vergrößern anklicken....
Generell stimmt das, wobei ich nicht einschätzen kann, ob Reichweite oder Stabilität bei mir der Schlüssel sind.

Ohne Repeater habe ich auch in der ganzen Wohnung WLAN, bricht aber oft ab...
Ob die Reichweite, aus welchen Gründen auch immer, minimal schwanken kann oder Störungen durch andere Netzwerke das hervorrufen... Keine Ahnung

Wenn ich mir einen Paketfilter auf einen Router spiele und diesen hinter die Fritzbox mit Modem hänge, ist ja das Netzwerk ab da abgesichert.
Ist es "schlimm" bzw. unsicher, wenn vor dem Paketfilter noch ein Downloadmanager auf der Fritzbox läuft (habe Pyload unter Freetz drauf) und ich vom Netzwerk aus auf dessen Daten und WebIF zugreifen muss?
 
der-matze schrieb:
Wenn ich mir einen Paketfilter auf einen Router spiele und diesen hinter die Fritzbox mit Modem hänge, ist ja das Netzwerk ab da abgesichert.
Ist es "schlimm" bzw. unsicher, wenn vor dem Paketfilter noch ein Downloadmanager auf der Fritzbox läuft (habe Pyload unter Freetz drauf) und ich vom Netzwerk aus auf dessen Daten und WebIF zugreifen muss?
Zum Vergrößern anklicken....

Ich glaube du hast da etwas falsche Vorstellungen was dir ein Paketfilter bringt. Für eingehenden Traffic besteht ja quasi kein Unterschied zu jedem 0815 NAT Router. Bringt dir ja nur was wenn du den ausgehenden Traffic beschränken willst, also für den Heimgebrauch relativ uninteressant.
 
Ich verstehe es so, dass ich sowohl eingehenden als auch ausgehenden Verkehr regeln bzw. freigeben kann, da beim Paketfilter standardmäßig geblockt wird.

Heißt also, dass ich meine gewünschten Dienste per benötigter Ports freigeben kann, mehr geht nicht rein oder raus.

Sollte man sich also was zweifelhaftes eingefangen haben, was nicht gerade auf Port 80 o. ä. raus telefoniert, hat man schon mal Vorteile.

Durch die Beschränkung der Ports war jetzt aber mein Gedanke, dass mein Zugriff auf das WebIF von Pyload ja ebenfalls beschränkt ist, sofern ich diesen nicht freigebe. Oder ist das im lokalen Netz anders?
 
Zuletzt bearbeitet:
...hmm, oh gut!...es, geht voran...leider immer noch ohne ECC Support, was ja gerade das C4 interessant macht.
Und aktuelle Boards aus den Shops werden das Bios von vor 2 Wochen eher noch nicht drauf haben...da ist noch einiges an Arbeit gefragt, was der TE ja eher vermeiden will.
Wer z.B. hat heute noch einen Rechner mit serieller Schnittstelle...das APU ist toll...nutze selbst das APU1D4 mit Dual-WAN ... das Setup ist aber nix für "klick, kick, finish" ;-)
 
Ist mein Verständnis bzgl. Paketfilter denn korrekt, oder verstehe ich da was falsch? ;)

Noch eine Frage:
Ist auf den Routern, die auf Preisvergleichseiten mit der Besonderheit OpenWRT oder DDWRT gelistet sind, bereits entsprechende Firmware installiert oder muss man diese selbst flashen (+ evtl. Zusatzpakete)?
 
...im Prinzip siehst Du das richtig.
Allerdings wird im lokalen Netz nix gefiltert, weil nicht geroutet wird, wenn Du nur ein lokales Netz hast.
Die Portfilter mit NAT sind i.d.R. sicher genug.
Was Du noch zaubern kannst sind Regeln für ausgehende Verbindung auf Basis der Clients und zB nach Zeit (die Tablets meiner Kids werden zB so zur Ruhe verdammt, damit die Bande endlich mal schlafen geht ;-)
Ebenso auf Basis der eingehenden IPs (z.B. fürs automagische Blacklisting).

Auf den Routern musst Du es i.d.R. selbst flashen...Buffalo hat(te?) wohl auch Modelle mit dd-wrt "ab Werk".
 
Mit der Einschränkung der Kinder habe ich glücklicherweise noch ein wenig Zeit. :fresse2:

Bei meinen o. g. Varianten bin ich eigentlich bei #2 hängen geblieben, da ich für den vollständigen Ersatz der Fritze nichts passendes finde:
2. Router mit openwrt oder ddwrt für LAN, WLAN und Paketfilter hinter die aktuelle Fritzbox mit Modem

Hier schaue ich nun also bei den Routern und grenze mit "4x GBit LAN", "Dual Band (simultan)" (unser Notebook spricht noch keine 5 GHz) und OpenWRT bzw. DDWRT ein. DLNA benötige ich generell auch, scheint sich ja aber mit alternativer Firmware nachinstallieren zu lassen.
Dazu schaue ich einen Kompromiss zwischen Übertragungsrate und Preis zu finden. :d

TP-Link lasse ich raus, da ich hier nahezu dauerhaft von Firmware-Mängeln und dem Endkunden als Beta-Tester lese...

Und nun verlässt's mich auch schon... Zu vielen Geräten liest man durchwachsene Bewertungen, keine vollständige Kompatibilität zur angepriesenen kompatiblen alternativen Firmware, wahnwitzige Leistungsaufnahmen...

Generell habe ich DDWRT (aus alten WRT54g-Zeiten) recht unübersichtlich und unschön im Kopf, daher wäre mir irgendwie OpenWRT lieber.

Bei dem ZyXEL NBG6716 ist wohl schon eine OpenWRT-Abwandlung (mit Änderungen seitens Zyxel) drauf - Iptables sollte man dort also vermutlich nur noch konfigurieren müssen, dafür fehlt DLNA noch. In Tests zeigt er einen niedrigen Verbrauch, die Übertragungsraten sind aber scheinbar nicht der Brüller. Bewertungen bei diversen Onlinehändlern sind ebenfalls durchwachsen...

Der ASUS RT-AC56U wäre wohl auch ganz gut, mit OpenWRT läuft aber scheinbar kein 5 GHz-WLAN.

Der Netgear R6250 hat auch wieder recht gute Bewertungen, scheint aber ebenfalls bei alternativer Firmware Probleme mit dem WLAN zu kriegen.

Aktuell tendiere ich Richtung o. g. Zyxel. Habt ihr vielleicht Empfehlung für einen entsprechenden WLAN-Router bis um die 100 €?
 
Nach weiterer Recherche habe ich mir nun den Linksys WRT1200AC bestellt. Das Gerät ist recht neu, verbraucht wohl relativ wenig Strom, soll eine gute WLAN-Performance haben und dazu noch OpenWRT unterstützen.

Ich werde dann mal testen, wie es sich mit dem Empfang in der Wohnung mit dem WRT1200AC ohne weitere Repeater verhält und -wenn alles zu meiner Zufriedenheit ist- die restlichen Punkte mit OpenWRT angehen.
 
Mir ist ehrlich gesagt noch nicht klar, was eigentlich wirklich Deine Anforderungen sind.
Du willst ausgehenden Traffic grundsätzlich verbieten und nur gezielt durchlassen, falls du dir etwas einfängst? Noch etwas?
 
Meine Gedanken dabei waren:
- bei Viren-/Trojanerbefall irgendwelcher Clients deren Datenverkehr zu unterbinden
- unerwünschtes nach-Hause-telefonieren oder andere unerwünschte Verbindungsaktionen der Clients/Software zu unterbinden
- wenn nicht über die Router selbst möglich, die Konfiguration der Router via WLAN verhindern

Ob ich das irgendwann noch um irgendwelche zeitlichen Beschränkungen für Clients o. ä. erweitern würde, kann ich noch nicht sagen.

Bzgl. der ersten beiden Punkte habe ich aber inzwischen schon gelesen, dass die Einschränkungen durch iptables wohl auch umgangen werden (können) (Nutzung anderer Dienste oder Standard-Ports) - das kann ich aber nicht beurteilen.

Weiterhin hatte ich mir nebenbei erhofft, durch die Beschränkungen durch iptables ein bestehendes "Problem" beheben zu können. Bei Google-Suchen erhalte ich -gerade beim Smartphone (natürlich im WLAN)- häufig diese tolle Robot-Meldung, bei der man erstmal fleißig Captchas tippen darf, bevor die gewünschte Suche erfolgt. Hatte ich auch schon bei allen Geräten durch, nach meinem Providerwechsel war erstmal eine Zeit Ruhe, jetzt geht's scheinbar vereinzelt wieder los.
 
Schonmal als Update:
Der WRT1200AC läuft und deckt mit dem WLAN auf 2,4 GHz die komplette Wohnung ab. Bei den 5 GHz ist es in einem Zimmer etwas problematisch.

Die Repeater spare ich mir nun, der geplante und bereits getestete Dualband-Repeater geht wieder zurück. Er verbindet sich mit hoher Geschwindigkeit zum Router, teilt aber selbst nur mit 54 MBit aus. Außerdem müsste ich, um willkürliches Umherspringen der Endgeräte zwischen den Stationen zu unterbinden, verschiedene SSIDs vergeben und manuell zwischen Router und Repeater wechseln. Dann stelle ich in dem einen Zimmer lieber gleich manuell auf das 2,4 GHz WLAN um und spare mir dafür den Repeater.

OpenWRT ist inzwischen auf dem WRT1200AC aufgespielt - Samba-Freigabe und DLNA laufen. Die Freigabe ist zwar etwas lahm (nur 30 MB/s lesen/20 MB/s schreiben, auch direkt per GBit-LAN), aber für meine Zwecke wohl ausreichend.

An die Firewall bzw. iptables muss ich mich demnächst mal dran machen. Dort bin ich nur gerade auf der Suche, wie ich meine Änderungen vorerst temporär hinterlegen kann, damit ich, im Fall der Fälle - also um mich nicht selbst auszusperren, nach einem Reboot wieder die alten Einstellungen habe.
Generell habe ich dafür verschiedene iptables-Generatoren sowie diese mMn recht nützliche Seite gefunden.

Kann mir jemand bei dem iptables-Problem auf die Sprünge helfen?
 
Ich weiß nicht, wie es bei OpenWRT ist, aber die Iptables Regeln werden normalerweise beim Systemstart aus einer Datei gelesen. Wenn du die treffen setzt, musst du sie ja nicht gleich in die Datei schreiben und kannst im Falle des Aussperrens einfach neu starten.


Edit: laut deinem Link ist das auch so. Führ die Regeln einfach über die Konsole aus und schreibe sie nicht gleich in die Datei.
 
Zuletzt bearbeitet:
Laut Link editiere ich doch die /etc/firewall.user bzw. trage die Regeln im Webinterface als Custom-Rules ein, welche dann wiederum in die eben genannte Datei geschrieben werden. Oder lese ich das falsch? :d
 
..wieso überhaupt "aussperren"?...Du würdest Dich doch "nur" vom I-Net aussperren, nicht vom Zugriff aus dem Heimnetz auf Deinen Router/FW, oder sehe ich was falsch?
 
Außer natürlich, ich stelle bei den Interfaces Murks ein! :confused:
 
Ja, aber das merkst Du erst wenn die Regeln aktiv sind ;-)
Evtl. könntest Du versuchen das/die Script(e) mit einer Zeitverzögerung aktivieren?...dann hast Du nach dem Boot immer z.B. 10 Minuten um alles zu "reparieren".
 
Hmm, ich könnte natürlich auch die Firewall aus dem automatischen Startup nehmen, dann müsste ich sie nach dem Boot von Hand starten. Wäre ja der gewünschte Effekt.

Und da eh ein anderer Router davor am Internet hängt, passiert in der Zeit auch nichts von draußen.
 
Anmelden, um zu antworten.

Ähnliche Themen

C
OpenWRT-Router an FritzBox für VR Brille
Antworten
1
Aufrufe
288
amdfreund
A
M
Firewall zwischen Fritzbox und FTTH Modem
Antworten
10
Aufrufe
1K
mephisto1111
M
S
[Kaufberatung] Ablösung Fritzbox 7490 - DECT + Wireguard - Alternativen
Antworten
16
Aufrufe
2K
p4n0
p4n0
M
2 Router mit jeweils eigenem Internetzugang über LAN verbinden
Antworten
8
Aufrufe
501
Hexcode
H
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh