Separate ("externe") Firewall

frontloop

Ensign
Registriert
Mai 2016
Beiträge
209
Hi,

geht folgendes und was brauche ich dafür (Programme/Hardware):

Ich will zwischen meinen Desktop-PC (Windows) und meine Router (Fritzbox, Speedport o.ä. - steht noch nicht fest) einen Linux-Rechner hängen, der als Firewall dient.
Dann will ich einzelnen Programmen vom Windows-PC auf dem Linux-Rechner den Zugriff auf's Internet verweigern.

Ganz einfach ohne diesen Linux-Rechner kann ich ja bei der Windows-Firewall einzelnen Programmen den Zugriff verweigern, aber das ist halt der selbe PC. Sprich Firewall und geblocktes Programm laufen auf dem selben PC.

Geht das aber auch, wenn PC mit Programm und PC mit Firewall getrennte Geräte sind?

Hat da jemand ne Anleitung für mich? Welche Linux-Distribution und welche Firewall eignen sich dafür?

Schön wäre es, wenn dann der Linux-PC auch gleichzeitig als Netzwerkspeicher (NAS) funktionieren würde.

Welche Software nehme ich dafür?

Und welche Hardware brauche ich bei dem Linux-PC?

Sorry, bin da ziemlicher Laie, aber mit den richtigen Stichworten/Links kann ich mich schon einarbeiten.
 
frontloop schrieb:
Dann will ich einzelnen Programmen vom Windows-PC auf dem Linux-Rechner den Zugriff auf's Internet verweigern.

Absolut unmöglich. Der Linux-Rechner weiß ja nicht, welches Paket zu welchem Programm gehört.
Ergänzung ()

WeisheitsTroll schrieb:
Was spricht gegen die Firewall im Router?
Die Firewall im Router kann unmöglich einzelne Programme blocken.
 
@tpcb: Siehe DPI, SPI und Layer-7-Firewalls. Solange Pakete nicht verschlüsselt sind, können sie untersucht werden.

@frontloop: Seit 7 blockt Windows alles Windows-fremde, was nach draußen möchte. Dann taucht ein hübsches Fenster wie dieses auf und sagt, daß Prozeß xyz geblockt wurde, nach draußen möchte und ob man das erlauben will. Dieses Verhalten ist wünschenswert.

Weiter geht es, wenn man Windows-Internem den Zugriff nach draußen untersagen möchte. Das regelt man am besten im Router, da Windows teilweise Einträge in der Hosts-Datei, in der Registry etc. ignoriert.

Was genau möchtest du blocken? Eine separate Firewall ist mit neunundneunzigprozentiger Wahrscheinlichkeit Overkill.
 
DeusoftheWired schrieb:
@tpcb: Siehe DPI, SPI und Layer-7-Firewalls. Solange Pakete nicht verschlüsselt sind, können sie untersucht werden.

Gefährliches Halbwissen, was du da verbreitest!

Sicher, in dem unwahrscheinlichen Fall, dass die Pakete nicht verschlüsselt sind, können sie untersucht werden, aber was bringts? Du scheinst eine sehr naive Vorstellung von IP-Pakten zu haben. Da steht nämlich gar nicht drin, von welchem Programm sie kommen.
 
Unwahrscheinlich kommt auf die Umgebung an; im Fall des Threaderstellers wird das ein normaler Heimanwender sein und da ist bis auf ein bißchen TLS (leider) nichts verschlüsselt.

Daß im Header nicht steht „Ich stamme vom Programm k3b“, ist mir schon klar, aber danke für die Unterstellung. Ich mag keinen CCNP haben, aber ich kenne meine Netzwerkgrundlagen.
Filtern auf Anwendungsebene funktioniert durch Mustererkennung. Ist zwar für Routerverhältnisse CPU-intensiv, klappt aber, solange nicht verschlüsselt wird.
 
DeusoftheWired schrieb:
Unwahrscheinlich kommt auf die Umgebung an; im Fall des Threaderstellers wird das ein normaler Heimanwender sein und da ist bis auf ein bißchen TLS (leider) nichts verschlüsselt.

Damit fallen also so normale Sachen wie Surfen, eMail und FTP schon mal weg. Programme die 'nach Hause telefonieren', tun dies idR auch verschlüsselt. Das deckt allein schon ca. 90% dessen ab, was ein normaler Heimanwender so tut.

Daß im Header nicht steht „Ich stamme vom Programm k3b“, ist mir schon klar, aber danke für die Unterstellung.
Sorry, war nicht böse gemeint. Im Übrigen war das auch keine Unterstellung, sondern eine Schlussfogerung. Du gehst doch offensichtlich davon aus, dass man am Paket erkennen kann, zu welcher Anwendung es gehört.

Filtern auf Anwendungsebene funktioniert durch Mustererkennung.
Du verstehst anscheinend den Begriff 'Anwendungsebene' falsch. Damit ist nicht ein konkretes Programm gemeint. Mittels Mustererkennung, kannst du Protokolle identifizieren. Du könntest also bestimmte Protokolle blocken. Angenommen der TE will nur den IE ins Netz lassen, den FF aber nicht. Wenn er jetzt mit Mustererkennung http blockt, dann können weder FF noch IE ins Netz. Du hast mit Mustererkennung keine Möglichkeit zwischen den beiden zu differenzieren.
 
@tpcb:
Da gebe ich dir recht, in den IP Informationen steht nicht viel über die Anwendung, damit hat aber eine Layer-7 oder sogenannte "NextGenFirewall" nichts mehr zu tun.

Eine stink normale Firewall basiert auf Layer 4 - Ebene sprich TCP/UDP Port blablubb.

Eine Layer-7 Firewall kann die Dienste darüber identifizieren und somit einzelne "Programme" oder "Applikationen" sperren für XY Benutzer.
Beispiel "Cisco ASA mit FirePOWER"

NextGenFirewall


aber mal B2T:

klar, kann der TE das machen, aber ist die Frage Wofür ? wenn jetzt mehrere Rechner im Netzwerk unterwegs sind und er alle gleich halten will, dann macht mir das eher sinn, aber so würde die Windows Firewall doch ausreichen, mal abgesehen für einen Rechner extra ein neues System aufzusetzen, welches noch zusätzlich läuft
 
Zuletzt bearbeitet:
razzy schrieb:
Eine Layer-7 Firewall kann die Dienste darüber identifizieren
Soweit stimm ich dir zu. Hab ich ja auch gesagt:

tpcb schrieb:
Du verstehst anscheinend den Begriff 'Anwendungsebene' falsch. [..] Mittels Mustererkennung, kannst du Protokolle identifizieren. Du könntest also bestimmte Protokolle blocken.

razzy schrieb:
und somit einzelne "Programme" oder "Applikationen" sperren
Nein, das geht eben nicht, wie ich schon erläutert habe:

tpcb schrieb:
Angenommen der TE will nur den IE ins Netz lassen, den FF aber nicht. Wenn er jetzt mit Mustererkennung http blockt, dann können weder FF noch IE ins Netz. Du hast mit Mustererkennung keine Möglichkeit zwischen den beiden zu differenzieren.

razzy schrieb:
für XY Benutzer.
Der Nutzer ist Layer 8. Prinzipiell hat keine Schicht Informationen über die Schichten darüber. Wie stellst du dir das vor, dass man ein bestimmtes Programm nur für den einen Nutzer blockt? Das geht nicht.
 
ok, ich verbesser mich für XY Client ;)
Ergänzung ()

und ja, man kann einzelne Programme bzw. Applikationen mit den NextGenFWs sperren, nicht auf IP ebene sondern auf Applikationsebene.

Aber ich denke diese Diskussion ist nicht Teil dieses Topics ;)
 
razzy schrieb:
ok, ich verbesser mich für XY Client ;)
Ok

razzy schrieb:
Ergänzung ()

und ja, man kann einzelne Programme bzw. Applikationen mit den NextGenFWs sperren, nicht auf IP ebene sondern auf Applikationsebene.
Nochmal: du kannst hier Programm und Applikation nicht gleichsetzen. Denk mein Beispiel mit HTTP, FF und IE. Du kannst HTTP blocken, aber nicht nur FF und IE nicht.

razzy schrieb:
Aber ich denke diese Diskussion ist nicht Teil dieses Topics ;)
Da denkst du falsch. Wie kommst du darauf? Hast du die Frage des TE nicht gelesen? Was denks du denn, was das Topic wäre?

frontloop schrieb:
Dann will ich einzelnen Programmen vom Windows-PC auf dem Linux-Rechner den Zugriff auf's Internet verweigern.
*Hervorhebung von mir
 
Hi,

der Gedanke war halt, dass ich Windows 10 vom "nach hause telefonieren" abhalten wollte.
Der Windows firewall traue ich in dem fall nicht und nachdem ich eh ein NAS/Netzwerkspeicher haben will, hätte der ja gleich auch die Firewall-Funktion übernehmen können...
 
Da bist du zehnmal besser bedient, wenn du erstens etwas wie ShutUp10 das Windows-interne Zeug zurechtbiegen läßt und zweitens die Domains, zu denen sich 10 verbinden möchte, im Router mit einer Blacklist/Filterliste/Jugendschutzfunktion blockst, je nachdem, was dein Routermodell anbietet. Der Liste muß man aber hinterherarbeiten und sie regelmäßig aktualisieren.

Außerdem: Folge der UNIX-Philosophie! Mache nur eine Sache und mache sie gut. Ein Gerät für eine Funktion. NAS ist NAS und Router ist Router. ;)
 
DeusoftheWired schrieb:
Außerdem: Folge der UNIX-Philosophie! Mache nur eine Sache und mache sie gut. Ein Gerät für eine Funktion. NAS ist NAS und Router ist Router. ;)

Oder einfach die Firewall der Fritzbox nutzen und ne USB-Platte an die Fritzbox. Nur ein Gerät für alles. Ist meist sinnvoller...
 
Die USB-Übertragungsraten auch der Spitzenmodelle der FRITZ!Boxen sind ein wunderbares Beispiel dafür. Für Dokumente und Kleineres okay, mit denen eines echten NAS können die aber nicht mithalten.
 
Stimmt natürlich. Mit deiner Einstellung müsstest du die Fritzbox aber doch eh generell ablehnen, oder? Die ist ja viel mehr als nur ein Router. Da ist ja auch noch ein Modem drin und ein WLAN-AP und ne Telefonanlage etc pp.
 
Trennt man Modem und Router voneinander, hat man den Vorteil, bei einem Anbieter/Technologiewechsel sämtliche Einstellungen, Filterlisten etc. einfach mitnehmen zu können und nur das neue Modem davorschalten zu müssen. Über die Telephoniefunktionen der FRITZ!Boxen kann eine ausgewachsene Auerswald nur müde lächeln. Ein AP mit OpenWRT erlaubt, auch an den feinsten Stellrädchen zu drehen. Das ist nicht das beste für jeden Anwender oder für jeden Anwendungsfall, aber Kombinationsgeräte sind nicht die einzige Möglichkeit. Trotzdem wird das langsam OT, mehr gern per PN.
 
DeusoftheWired schrieb:
Trennt man Modem und Router voneinander, hat man den Vorteil, bei einem Anbieter/Technologiewechsel sämtliche Einstellungen, Filterlisten etc. einfach mitnehmen zu können und nur das neue Modem davorschalten zu müssen.
Sicher, nur kommt das extrem selten vor. Bei den meisten Nutzern nie.

DeusoftheWired schrieb:
Über die Telephoniefunktionen der FRITZ!Boxen kann eine ausgewachsene Auerswald nur müde lächeln.
Reicht aber für die allermeisten Nutzer mehr als aus.

DeusoftheWired schrieb:
Ein AP mit OpenWRT erlaubt, auch an den feinsten Stellrädchen zu drehen.

DeusoftheWired schrieb:
Das ist nicht das beste für jeden Anwender oder für jeden Anwendungsfall, aber Kombinationsgeräte sind nicht die einzige Möglichkeit.
Klar, für uns IT-ler ist das alles sehr nice, aber das kannst du doch keinem DAU empfehlen.

DeusoftheWired schrieb:
Trotzdem wird das langsam OT
Nichts davon ist OT.

DeusoftheWired schrieb:
mehr gern per PN.
Nö, das finde ich in höchstem Maße asozial. Der Sinn eines Forums ist doch gerade, dass Leute, die ähnliche Probleme haben, die Lösung einfach finden können, ohne selbst nochmal zu fragen. Mit PNs schadest du doch allen. PNs sind für Private Nachrichten gedacht.
 
...nichtdestrotz dass eine AVM 7490 für die allermeisten Privatkunden mehr als ausreichend ist, sowohl von der TK-Anlage als auch vom AP her, ist die Übertragungsrate von der integrierten NAS-Funktionalität beschissen. Das ist sie bei so gut wie allen AiO-Routern. Und ob ich da jetzt eine externe HDD ranhänge oder ein g'scheites 1-Bay-NAS, macht von der Optik her kaum einen Unterschied.
Ohnehin sind die meisten Privatkunden ja schon mit einer simplen Benutzerverwaltung überlastet, die man auch bei einem Fritz-NAS einstellen sollte, also sind sie das auch mit einem NAS. Letzteres dutzendfach beobachtet.
Dass eine Fritzbox mehrere Kennwörter hat, verstehen die nicht. Die kennen "WLAN-Kennwort" und das wars. Dass so ein Router auch noch andere Passwörter haben kann, z.B. das Gerätekennwort, ist plötzlich völlig überraschend. Und dass man in der Fritzbox sogar individuelle Benutzeraccounts einrichten kann die diese oder jene Rechte bekommen können - vergisses. Da kann man auch gleich ein potentes NAS hinstellen & alle Freigaben aufmachen, dann haben sie wenigstens was schnelles.
 
Zuletzt bearbeitet:
Zurück
Oben