Firewall auf dem Raspberry

Ursprünglich hatte eine Firewall bzw. ein Paketfilter eine simple Aufgabe: Die Schaffung eines kontrollierten Übergangs zwischen zwei oder mehreren Netzen, mit dem Ziel, den Datenverkehr zu überwachen und anhand von festgelegten Regeln zu entscheiden, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Doch vielen Herstellern war das nicht genug. Sie gingen dazu über unterschiedliche Sicherheitsaufgaben auf einer Plattform zu vereinen. Eine Firewall war nicht mehr bloß ein einfacher Paketfilter, sondern gleichzeitig ein Gateway, Proxy (Contentfilter), Intrusion-Detection-System, Virenscanner oder VPN-Gateway.

Für diese Lösungen kann man wenn man will viele tausend Euro ausgeben. Im privaten Umfeld bzw.  bei kleinen Firmen ist das keine Option

……..oder aber man benutzt einen Raspberry Pi der im Privatbereich die Sache genauso gut erledigt.

Die Software der Wahl heisst IPFIRE 

Eine Open Source Firewall mit langer Tradition die über eine große Community verfügt.

Im Wiki von IPFIRE ist die Konfiguration von ARM Boards gut beschrieben

Ein Image für den Raspberry steht dort zum Download bereit.

Die Konfiguration ist sehr intuitiv und für den Grundbetrieb in 30 Minuten erledigt

Wer will dem stehen alle Grenzen offen um um mehr Hirnschmalz in eigene Firewallregeln zu kreieren.

Bei mir waren es Z.B. Überwachungskameras die über spezielle Ports angesprochen werden.

Grundsätzlich trennt eine Firefall die vorhandenen Netze

Das Netz mit IPFire separieren

IPFire unterscheidet bis zu vier unterschiedliche Netzwerkarten: Grün, Blau, Orange und Rot. Grün ist dabei das interne Netzwerk, also das lokale Netz mit dem höchsten Vertrauensniveau und dem höchsten Schutzbedarf. Blau ist das (bei Bedarf) separate Netzwerk für das WLAN. Dort landen also insbesondere Gäste, denen man zeitweilig Zugriff auf das Internet oder Ressourcen in der DMZ erlauben möchte.

Die Demilitarisierte Zone (DMZ), also lokal verbundene Server die sowohl aus dem internen als auch dem Intranet erreichbar sein sollen, wird mit der Farbe Orange dargestellt. Zugriffe aus der DMZ heraus in das interne Netz sollten nicht möglich sein. Der rote Bereich ist das externe Netzwerk, also das Internet. Wenn Sie im Hause nicht selbst ein autonomes System betreiben, sollte im roten Bereich ausschließlich das Modem beziehungsweise der Router Ihres Internetanbieters sein. Ein Zugriff aus dem Internet sollte ausschließlich in die orangene DMZ möglich sein, bestenfalls beschränkt auf die notwendigen Ports der dort angebotenen Dienste.

Je nachdem, wie viele Netzwerkkarten Sie Ihrem System spendieren können und welche Zonen Sie benötigen, wählen Sie als „Typ der Netzwerkkonfiguration“ also die entsprechende Kombination. Für unseren Artikel wählen wir Grün, Rot und Orange. WLAN-Geräte werden aus Sicherheitsgründen nicht zugelassen

Im nächsten Schritt weist man nun jedem logischen Netzbereich die entsprechende Netzwerkkarte zu.

Ich empfehle einen Blick in das Wiki von IPFire zu werfen.

Dort ist alles sehr anschaulich dargestellt und erklärt

Nach der Grundkonfiguration kann man Monitor und Tastatur vom Firewallrechner abbauen. Der Rest erfolgt über die sehr komfortable Weboberfläche

Hinweise zum Betrieb mit Raspberry Pi

Da der Raspberry Pi nur über einen LAN Anschluss verfügt ist es nötig den zweiten über einen USB – Lan Adapter bereit zu stellen. Meine Tests haben ergeben das ein Raspberry 1 damit überfordert ist Ein Raspberry Pi 2 kommt mit 2 Netzen (Internet und LAN) gut zurecht ist aber mit einer zusätzlichen Netzwerkschnittstelle nicht mehr. Der Raspberry Pi 3 kommt ebenfalls mit 3 Netzen nicht klar hat aber für 2 Netze ein paar Leistungsreserven mehr als der Raspberry Pi 2. Ich persönlich habe einen Raspberry Pi 3+ mit 2 Schnittstellen (Internet und LAN) seit 4 Jahren 24/7 in Betrieb und bin sehr zufrieden. Eine DMZ und WLAN mit einem vom eigentlichen Router getrennten WLAN-Accesspoint liesse sich auch noch realisieren aber das scheitert beim Raspberry wie gesagt an den fehlenden Schnittstellen

Wer das will kann auf dedizierte Hardware wie die APU 1D4 oder die APU 2C4 zurückgreifen die aber 200 bis 300 € kostet.

Diese bringt dann bis zu 4 Gigabit Schnittstellen mit.

Wer noch eine nalten Rechner im Keller hat und ihn mit zusätzlichen billigen Netzwerkkarten ausstattet kann das günstiger realisieren.

Ich bin beruflich sehr viel unterwegs und nutze sehr oft den VPN Zugang zu meinem Heimnetz. Bei mit ist Openvpn im Einsatz aber IPSec ist auch möglich

 

Noch keine Bewertungen

Bitte bewerten