Forum: PC Hard- und Software Extra Firewall hinter der Fritz.Box


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von feuerwand (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo in die Runde,

ich würde gerne folgendes Netz aufbauen:

INTERNET -> Fritz.Box | Firewall | NAT -> Netz als DMZ -> IpFire 
Firewall | NAT | Proxy -> internes Netzwerk


Wie hier gezeigt wird ja 2x genattet, was gefühlt unschön ist, da ich im 
Netzwerk der DMZ nicht weiß, welcher Client aus dem internen Netzwerk 
denn z.B. zugegriffen hat...

Oder sollte ich das als zusätzliches Sicherheitsmerkmal verbuchen?

Wie seht ihr das bzw. wie habt ihr sowas in der Vergangenheit umgesetzt?

Ich hätte gerne eine DMZ und ein internes Netzwerk und habe bereits eine 
Fritz.Box im Netzwerk.

Kann ich IP Fire außerdem einfach auf jedem beliebigem Rechner mit 2 
Netzwerkkarten der aktuellen Generation installieren?

Danke und Gruß

von c-hater (Gast)


Bewertung
0 lesenswert
nicht lesenswert
feuerwand schrieb:

> Wie hier gezeigt wird ja 2x genattet, was gefühlt unschön ist

Unschön ist das falsche Wort, es ist schlicht unsinnig.

> Wie seht ihr das

Genau so. Deswegen: wer, zum Teufel, zwingt dich, auf dem inneren 
Gateway (also der IPFire) NAT zu betreiben?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Auf einen vom Provider gestellten Kabel-Fritz hat der Provider Zugriff. 
Was damit genau möglich ist weiss ich nicht, eine innere Firewall ist 
mir da durchaus recht.

Doppeltes NAT ist nicht schlimmer als einfaches. Ich habe intern einen 
Mikrotik Router sitzen (auch aus anderen Gründen) und verbinde mich 
i.d.R. über diesen mit dem Kabel-Internet. Dieser Router verträgt sich 
auch bei IPv6/DSlite gut mit der Fritzbox.

: Bearbeitet durch User
von TestX (Gast)


Bewertung
0 lesenswert
nicht lesenswert
das ist ein "normales" setup heutzutage, da die meisten dsl router 
keinen modembetrieb mehr unterstützen. außerdem ist ein abgestuftes 
fireewallsetup empfohlen ;)

das mit dem doppelten nat ist zwar nicht ganz so schön aber praktisch 
hast du dadurch keinerlei nachteile.

für ipfire (oder lieber gleich opnsense?) reicht 1ne netzwerkkarte die 
vlan tags unterstützt und ein entsprechender switch

von Axel S. (a-za-z0-9)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Auf einen vom Provider gestellten Kabel-Fritz hat der Provider Zugriff.
> Was damit genau möglich ist weiss ich nicht, eine innere Firewall ist
> mir da durchaus recht.

Im Sinne von "Gürtel und Hosenträger"? Naja, wer es mag ...

Sofern man Root-Zugang zur Fritzbox hat (und bislang habe ich das nicht 
anders angetroffen) kann man den Provider aussperren. Und zumindest 
ich bin auch paranoid genug, das zu tun.


TestX schrieb:
> das ist ein "normales" setup heutzutage, da die meisten dsl router
> keinen modembetrieb mehr unterstützen. außerdem ist ein abgestuftes
> fireewallsetup empfohlen ;)

Wenn man eine DMZ braucht (hinter DSL?), dann nutzt man eher eine 
klassische 3-Port Firewall für intern/DMZ/extern. Zwei getrennte 
Firewalls sind zumindest mal doppelter Aufwand für Konfiguration und 
Pflege.

von Nano (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Grundregel Nr 1. : Ein NAT ist keine Firewall.

Aus dieser Regel kann man daher ableiten, dass du für die Firewall kein 
NAT benötigst.


Was du bspw. machen könntest wäre eine HW mit zwei Ethernetports 
zwischen der Fritzbox und dem Rest zu verwenden. Auf dieser kannst du 
dann FW Filterregeln laufen lassen und Pakete die an dieser HW vorbei 
wollen, müssen dann durch diese FW Filteregeln durch.

Also so:
Fritzbox > <eth1 HW eth2> < Rest des LAN

Die beiden NIC Devicenamen kannst du dann in der FW Regel zum trennen 
verwenden, mit der internen IP der Fritzbox geht das allerdings auch.

von feuerwand (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke schon einmal für eure Antworten.

Ich habe gelesen, dass die Fritz.Box nur Pakete aus ihrem eigenen Netz 
ins Internet weiterleitet, wenn das stimmt müsste zwangsläufig genattet 
werden.

Ich möchte das Netz eigentlich gerne wie folgt aufbauen:

DMZ
Internes Netz
Internet

Hierfür würde ich gerne das interne Netz der Fritz.Box als DMZ nutzen. 
Zur "DMZ" zeigt dann IP Fire in die eine und ins interne Netz in die 
andere Richtung.

Wird somit die Fritz.Box Firewall umgegangen muss erstmal noch die 
Firewall von IPFire geknackt werden.

Ich habe gelesen, dass sich bei IPFire das genatte nicht ausschalten 
lässt, ist das richtig?

Nach kurzem Googlen finde ich opnsense vom ersten Eindruck her schon 
schöner, kann man dort das natten deaktivieren?

von Jim M. (turboj)


Bewertung
0 lesenswert
nicht lesenswert
feuerwand schrieb:
> Ich habe gelesen, dass die Fritz.Box nur Pakete aus ihrem eigenen Netz
> ins Internet weiterleitet, wenn das stimmt müsste zwangsläufig genattet
> werden.

Moderne FritzBoxen kennen "statische Route", mit denen man weitere Netze 
(RFC1918) ins Internet routen kann.

Damit fallen die internen NATs weg, allerdings nicht die jeweilige 
Firewall.

von c-hater (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Jim M. schrieb:

> Moderne FritzBoxen kennen "statische Route", mit denen man weitere Netze
> (RFC1918) ins Internet routen kann.

"Moderne"? Das ist wohl doch eine sehr weite Auslegung des Begriffs 
"modern". Ich kann nicht mehr sagen, seit wie vielen Jahren Fritzboxen 
schon statische Routen beherrschen, aber es sind verdammt viele Jahre. 
Mindestens 10, wenn nicht sogar 15.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.