ComputerBase Menü
Aktuelles

Günstige Firewall für das Heimnetz?

  • Ersteller Ersteller askling
  • Erstellt am Erstellt am
askling schrieb:
wie entzieht du irgendwelchen Devices denn den Standardgateway?
Zum Vergrößern anklicken....
Indem man am Gerät in dessen Netzwerkeinstellungen gar kein oder ein falsches Standardgateway einstellt - zack, keine Internetverbindung mehr.


Nach wie vor halte ich einen simplen pihole für die sinnvollste Lösung. Wenn man sich nicht mit Netzwerken auskennt und sich einmal zB mit WireShark anschaut was so alles im Netzwerk "abgeht", bekommt man schon auf den ersten Blick Schweißperlen auf der Stirn - obwohl alles 100%ig in Ordnung ist. Dein Interesse in allen Ehren, aber dann kannst du dir auch Messreihen vom DESY angucken und bist genauso schlau ;)

Nicht jeder Internetverkehr ist böse. Auch nicht jedes Nach-Hause-Telefonieren ist böse. In den allermeisten Fällen sind das nur Updatechecks für die Firmware, o.ä.

Wenn dich interessiert was dein Windows so treibt, lade dir besagtes WireShark runter und staune wie belebt und aktiv ein vermeintlich ungenutztes Netzwerk aussieht.


pihole deckt mit den entsprechenden Listen die üblichen Verdächtigen von Smart-TV und Co bereits ab. Für Otto Normal ohne KnowHow in meinen Augen mehr als ausreichend. Für mehr Überwachung und mehr Kontrolle braucht man auch mehr KnowHow. Sonst endet das nur im reinen Abtippen oder Nachklicken von youtube-Videos ohne dass man überhaupt weiß was man da tut....
 
  • Gefällt mir
Reaktionen: Olunixus und omavoss
@askling:
Pi-Hole kann selbst der DHCP-Server sein. Ich selbst habe es bisher nicht gesehen, wie man einem Android-Device das Standard-Gateway entziehen kann. Das wäre ja auch irgendwie sinnlos, genau so sinnlos, wie wenn man das bei einem Smart-TV tun würde; weil -> dann auch keine Mediathek, keine Apps usw.

Im Falle des Smart-TV kannst Du ihm das "nach-hause-telefonieren" mit Pi-Hole teilweise untersagen.
 
Zuletzt bearbeitet:
Geht auch bei Android. Allerdings ist das bei mobilen Endgeräten wie Smartphone und Tablet natürlich zum einen kontraproduktiv, weil sie ja massiv(st) für Internetanwendungen genutzt werden, und zum anderen, weil man dann in den WLAN-Einstellungen mit statischer IP arbeiten muss, was in anderen WLANs natürlich schnell nervig wird.
 
  • Gefällt mir
Reaktionen: omavoss
APU Board und pfsense wurde noch nicht genannt. Damit kannst du auf jeden Fall theoretisch alles machen was du willst. (Auch Gateways per DHCP setzen, oder eben auch nicht.)

Wobei ich eine Lösung wie pihole ebenfalls empfehlen würde. Da ich denke, dass du damit deinen Anwendungsfall am ehesten erschlägst.

Grüße
 
Ja, was Windows überprüfen angeht hast du recht. Wireshark habe ich schon hin und wieder genutzt. Ich glaube es war auch eher eine Rechtfertigung mich damit zu beschäftigen. :D Wäre vielleicht auch mal an der Zeit das Netzwerkwissen zu vertiefen...

Ich werde mir piHole nochmal genauer ansehen. Aber wenn ich mir schon so was installiere, ärgert es mich nur eine 80% Lösung zu haben, da eben nur auf DNS Ebene gefiltert wird und direkte Anfragen an eine IP durchkommen. Auch bei Malware ggf. interessant.

Ebenso schaue ich mir mal Opnsense an, da scheinbar in der EU entwickelt und moderner als pfsense, einer kurzen Suche nach. Kleine fertige industrie-PC's für 24/7 und passiv gekühlt habe ich für um die 200€ gesehen. Das wäre gerade noch so drin, wenn die Hardware stromsparend, zuverlässig im Dauerbetrieb und langlebig ist.

Danke für die super Anregungen. Ich muss mich die Tage nochmal etwas einlesen.
 
Zuletzt bearbeitet von einem Moderator:
Wenn du etwas kleines stromsparendes suchst mit 2 oder mehr NICs dann sieh dir die bereits erwähnten APU Boards an. Ob du als Software Lösung pfsense, opnsense, ipfire, openwrt, sophos utm oder sonstwas verwendest ist eher nebensächlich denn Konfigurationsfehler kann man bei allen wunderbar begehen :D
Daher ist es essentiell, dass du verstehst was du da einstellen und blockieren willst^^

Wenn du etwas fertiges willst mit Hardware und Software dann schau dir ggf. mal die Router/Firewalls von Ubiquiti aus der Unifi Reihe an, keine Ahnung wie da die aktuellen Modelle heißen aber deren Unifi Geräte haben eine große Fangemeinde da solltest du bereits unzählige Infos zu finden.
 
Oh, an Geld scheint es nicht zu fehlen. Da kann ich leider nicht (mehr) mithalten, hier reicht es evtl. noch für einen RasPi4, wenn ich meinen gesammelten Elektronik-Schrott endlich einmal verkaufen kann (wegen Corona zur Zeit geschlossen).
 
Kann man in der Kindersicherung der Fritzbox ausgehend nicht auch IP Adressen auf die Blacklist setzen?
 
  • Gefällt mir
Reaktionen: Raijin
Und sobald die Geräte nen anderen DNS Server nutzen, kann auch PiHole nichts mehr machen.

Ich musste den alten LG meiner Eltern komplett blocken, weil er die DNS Server von Google drin hatte, egal was der DHCP geschickt hat.

PiHole ist gut, solange die Clients mitspielen ansonsten sind OPNsense und Co angesagt.
 
  • Gefällt mir
Reaktionen: Bob.Dig
xammu schrieb:
Ich musste den alten LG meiner Eltern komplett blocken, weil er die DNS Server von Google drin hatte, egal was der DHCP geschickt hat.
Zum Vergrößern anklicken....

Hat das Ding echt keine Netzwerkoptionen zum manuellen Festlegen von IP, Subnetzmaske, DNS und Standardgateway?
 
Korrekt. Aber noch ist es ja optional bzw. konfigurier- und abschaltbar.
 
Zuletzt bearbeitet von einem Moderator:
Moin!
@askling die Geräte/ Hardware von Ubiquiti sind auch ein Blick wert. Falls du beispielsweise auch nach der Suche nach neuen Access Points bist, kann ich die eine Ubiquit USG 3-Port sehr empfehlen. In Kombination mit 1-2 AccessPoints richtig gut. Über einen Unifi Controller (wahlweise als Hardware von Ubiquit oder selbstgebaut auf einem Raspi) kann das Netzwerk schnell, sicher und einfach konfiguriert werden.
Seit einiger Zeit gibt es auch die sogenannte DreamMachine - hier sind alle genannten Komponenten in einem Gerät integriert.

Grüße,
implosion
 
@Olunixus Nur eine reine IP-Adresse ist auch "Käse". Dank SNI und Reverse Proxies kann unter ein und derselben IP-Adresse hunderte völlig unterschiedliche Webseiten erscheinen. Gleiches Problem hast du bei allen Diensten, die sich hinter CDNs wie Akamai, Cloudflare, CloudFront und wie sie nicht alle heißen "verstecken". Wenn also $böse-Webseite-A beispielsweise Cloudflare verwendet, willst du dann die IPs von Cloudflare blockieren und dir damit (leider) einen Großteil des Internets selbst abklemmen?

Ansonsten auch ein guter Hinweis von @xammu mit den hart kodierten Einstellungen in irgendwelchen IoT Kisten. @DeusoftheWired Bei Android-basierten Systemen ist es noch schlimmer, die machen immer einen Verbindungscheck zum public Google DNS (8.8.8.8) und melden, dass kein Internetzugriff bestehe selbst wenn das Gerät eine korrekte IP, Subnetmask, Gateway, Routen sofern notwendig und DNS-Server mitgeteilt bekommen hat. Vermutlich macht es LG ähnlich...

Bei Lösungen wie Pi-Hole bekommst btw. auch nur die DNS Abfragen mit. Sobald das Endgerät alternative DNS Server verwendet oder als Fallback fest eingestellt hat, bekommst da nix von mit. Auch solltest genau aufpassen bzgl. IPv4 und IPv6. So ziemlich jedes Endgerät bevorzugt inzwischen v6, du musst also auch den Pi-Hole als DNS-Server in den IPv6 Einstellungen verteilen bzw. einstellen.

Eine weitere Alternative wäre das aufsetzen und betreiben eines Proxies wie z.B. Squid, da siehst du dann alle Webaufrufe sofern die Endgeräte diesen Proxy verwenden und kannst da einzelne Webseiten sperren. Aber das ist eben viel manuelle Pflege sofern man nicht auf Sperrlisten je Kategorie zurück greifen kann aber genau das gleiche kannst auch mit den Zugangsprofilen einer Fritzbox erreichen.

Du siehst: Möglichkeiten gibt es viele aber welche davon die für dich passende ist hängt von vielen Faktoren ab: Hast du die Kenntnisse, Fähigkeiten und vor allem die Zeit jeden ausgehenden Traffic zu prüfen? Was erhoffst du dir davon und wovor genau willst du dich schützen? Hast du vollen administrativen Zugriff auf alle Geräte?
Wenn du 100% "Schutz" erreichen willst wird das eine never-ending-Story denn deine aktuellen Filter und Blockaden decken nur den Zeitpunkt ab zur Erstellung. Morgen gibt es eine neue "böse" Seite mit der nächsten Domain oder wenn du IPs blockst dann ziehe ich den Server um und ändere die DNS Records auf die neue IP. Ich will dich nicht komplett von deinem Vorhaben abbringen nur eben ein bisschen die rosa Brille entfernen und die Realität aufzeigen und welcher Aufwand dies ist.
 
  • Gefällt mir
Reaktionen: DeusoftheWired, askling, implosion und eine weitere Person
Ich behaupte mal besser kann man das nicht zusammenfassen ;)
 
Danke für das Lob 😊

Noch ein Nachtrag: Viele wiegen sich mit einer Firewall auf der sicheren Seite. Pöses Internet draußen, sicheres Intranet drinnen aber dieser Gedanke stammt aus den 90ern oder so und es hat sich gezeigt, dass diese Denkweise absolut nicht ausreichend ist und nur funktioniert solange alle möglichen Übertragungswege verschiedene Protokolle nutzen, andere Ports verwenden etc. Inzwischen geht aber ein Großteil über http/https durchs Netz und man muss sein Sicherheitskonzept daraufhin anpassen.
Wer sich ernsthaft(!) damit auseinander setzen will: Die Zauberwörter heißen Defense in depth sowie Breach assume
Sprich stelle mehrstufige unterschiedliche Hürden auf und gehe davon aus, dass irgendwo in deinem Netzwerk mindestens ein Gerät oder ein Account kompromittiert ist und erstelle darauf basierend dein Sicherheitskonzept. Hat halt den Nachteil, dass es eben komplexer ist und man sich mit mehr als einem Projekt und Problem herum ärgern darf.
 
  • Gefällt mir
Reaktionen: askling und Raijin
  • Gefällt mir
Reaktionen: commandobot
Jain. Mit Wireshark siehst zwar ein- und ausgehende Verbindungen und von wo die kommen bzw. wohin die gehen aber damit sieht man nur den Host. Der TE sieht dabei nicht, welche Anwendung den Datenverkehr erzeugt. Das kann man z.B. mit dem TCPViewer direkt von MS einsehen: https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview
Will man hingegen nicht die Verbindungen sehen sondern den Inhalt wäre man wieder bei Wireshark, wird nur sehr schnell sehr komplex sobald die Verbindungen verschlüsselt sind was heute eher der Standard als die Ausnahme ist...
 
thema firewall: ich hab hier die sophos xg home am laufen. für zu hause kostenlos (allerdings hardwarebeschränkt, reicht aber für die meisten heimandwendungen bestimmt aus). kann auf ner vm o.Ä installiert werden. lässt keine wünsche offen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Welcher Switch und Router für das Heimnetzwerk?
2
Antworten
38
Aufrufe
2.902
Atohm
A
F
Empfehlung für Heimnetz
2
Antworten
25
Aufrufe
1.634
fantozzi
F
svr2009
Bräuchte Tipps/Aufklärung für das Heimnetzwerk
Antworten
12
Aufrufe
867
just_f
just_f
Nscale
Günstige IP Kamera für Heimnetz ohne Cloud gesucht
Antworten
11
Aufrufe
841
Nscale
Nscale
F
Günstiges Heimnetz mit VLANs
2
Antworten
28
Aufrufe
1.502
GrillSgt
GrillSgt
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz