Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zentraler Firewall-, Content-Filter auf separatem PC im gleichen Subnetz ohne NAT

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

09.06.2013, aktualisiert 10:47 Uhr, 2509 Aufrufe, 8 Kommentare

Hallo allerseits,

es ist folgende (zugegebenermaßen etwas exotische) Konfiguration geplant:

Eine Fritzbox hängt an VDSL50, der gesamte Internetverkehr wird dort ja per default gaNATtet.

Hinter die Fritzbox soll via GB-Lan ein Windows-Rechner (z.B.Win7prof = Filterrechner) mit zwei Netzwerkkarten, der letztendlich nicht anderes macht, als den gesamten ein- und ausgehenden Verkehr zu filtern, und das OHNE erneutes NAT.
1.NIC zur Fritzbox = 192.168.100.11/255.255.255.0
2.NIC zum internen LAN = 192.168.100.22/255.255.255.0

Filterung soll möglich sein nach IP, URL(-bestandteilen), Schlüsselworten, Ports.

Hinter diesem 'Filterrechner' ist dann das interne Lan via Gb-Switch (192.168.100.xx/255.255.255.0) angeschlossen.

Warum eine solche Konfiguration?
- Der gesamte Internetverkehr kann zentral und ohne Zugriff der Netzwerk-User auf dem 'Filterrechner' konfiguriert werden.
- Es gibt Dienste, die mit einem zweifachen NAT (Fritzbox + Filterrechner) Probleme haben, z.B. Bittorrent, VPN.
- Optional kann ein Virenscanner zentral den Internetverkehr überwachen.

Ist eine solche Konfiguration denkbar?
Gibt es einen Softwarerouter mit Firewall, der nicht zwingend NAT braucht? Auch als OpenSource und/oder Freeware?

Danke, schönen Sonntag,
usercrash

Mitglied: certifiedit.net
09.06.2013 um 10:54 Uhr
Guten Morgen,

pfSense bspw. Allerdings ist die Frage: Willst du dafür wirklich einen vollwertigen PC einsetzen - Stichwort Strom? Wlan wird an der Box nicht genutzt?

Grüße
Bitte warten ..
Mitglied: usercrash
09.06.2013, aktualisiert um 11:22 Uhr
Danke für die Antwort.

Nein, Wlan der Fritzbox wird nicht genutzt.

Ja, es soll ein vollwertiger PC sein, da zugleich (verschlüsselter) Auslagerungsspeicher des internen Lan.

pfSense ist wohl ein Linux-System auf der Basis von FreeBSD. Gibt es so etwas nicht für den Windows-Bereich?

Danke und Gruß
Bitte warten ..
Mitglied: certifiedit.net
09.06.2013 um 11:24 Uhr
Hallo,

du kannst nach jeglicher Proxysoftware suchen, das scheint das zu sein, was du möchtest.

Grüße
Bitte warten ..
Mitglied: usercrash
09.06.2013 um 11:54 Uhr
Ja, ein (transparenter) Proxy könnte einen Teil der Aufgaben übernehmen, hat meines Wissens aber diverse Nachteile:
Nicht alle Programme auf Clientseite kommen damit klar, insbesondere bei SSL-Verbindungen und diversen (auch automatischen) Updatefunktionen.

Ziel ist, die Clients im Lan "unberührt" zu lassen und den ein- und ausgehenden Verkehr auf dem Filterrechner zu regeln. Gemeint ist hier nicht nur der www-Verkehr, sondern auch VPN, FTP, Mail, Messager, Filesharing und andere Exoten.

Übliche Firewall/Routersoftware kann das, nur kenne ich leider kein Programm, welches ohne NAT auskommt. Und genau das kann ich nicht gebrauchen, da die Fritzbox schon NATtet, s.o..

Gruß
Bitte warten ..
Mitglied: certifiedit.net
09.06.2013, aktualisiert um 12:07 Uhr
...und warum sourcest du nicht das Natting auf den Nachgeschaltenen Router/Filter aus? Abgesehen davon kann man bei pfSense höchstwahrscheinlich auch das NAT deaktivieren.

PS: eine 5sek Google Recherche hätte dir gesagt, dass pfSense auch ohne NAT arbeitet.
Bitte warten ..
Mitglied: aqui
09.06.2013, aktualisiert um 12:36 Uhr
pfSense wird allein nicht ganz reichen wenn der TO auch nach URLs und Web Content filtern muss.
Dann kommt er um einen Squid nicht drum rum, der aber mit einem simplen Mausklick als zusätzliches Package auf der pfSense installiert ist.
So oder so ist das dann die klassische Kombination pfSense und Squid.
Man bräuchte nichtmal die Fritzbox Gurke davor sondern könnte das auch ganz allein mit der pfSense machen wie das Beispiel es hier im Kapitel "VDSL" erläutert:
https://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
Bitte warten ..
Mitglied: orcape
09.06.2013 um 13:37 Uhr
Hi,

Man bräuchte nichtmal die Fritzbox Gurke davor sondern könnte das auch ganz allein mit der pfSense machen
Es stellt sich sowieso die Frage, ob ein Win7 Prof. für solche Zwecke nicht "etwas fehl am Platze" ist.
PfSense ist genau für solche Anwendungsfälle gemacht, was man von Win7 wohl nicht behaupten kann.
Wenn es nur die Fachunkenntnis, betreffs eines FreeBSD-Systems ist...
pfSense ist wohl ein Linux-System auf der Basis von FreeBSD
....welches den TO dazu bewegt, hier ein Win7 einzusetzen, so kann ich Ihn beruhigen.
Mit etwas Einarbeitungszeit, ohne welche ein solches Projekt sowieso nicht funktioniert, ist pfSense mit seinem GUI recht einfach zu handlen.

Gruß orcape
Bitte warten ..
Mitglied: SlainteMhath
10.06.2013 um 10:47 Uhr
Moin,

Ja, es soll ein vollwertiger PC sein, da zugleich (verschlüsselter) Auslagerungsspeicher des internen Lan.
Was genau soll das sein? Ein verschlüsseltes Fileshare? Das hätte auf einer FW sowie nichts zu suchen, bzw wäre notfalls auch unter Linux abbildbar.

Zu deinem "Filter-PC": Was du willst ist eine Bridge - die ist auf dem einen NIC mit dem Routrer verbunden und mit dem anderen NIC mit dem LAN und kann so den gesamten Netzverkehr einsehen und ggfs. blockieren. DPI Tools für Linux gibt's einige z.B. hier.

Die Bridge ist dabei komplett transparent, d.h. du benötigst kein separates Subnetz für diese Konstruktion

lg,
Slainte
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Firewall in Subnetz - Firewall in anderem Standort

gelöst Frage von 121103LAN, WAN, Wireless5 Kommentare

Hallo zusammen, momentan fange ich an mich mit Netzwerksegmentierung zu beschäftigen und hätte diesbzgl eine Frage. Option 1 Ich ...

Batch & Shell

Powershell Get-Content Inhalt filtern

gelöst Frage von derhoeppiBatch & Shell1 Kommentar

Guten Morgen, ich habe eine Textdatei nach dem Beispielhaften Muster Nun möchte ich diese Datei einlesen, aber bestimmte Zeilen ...

Windows Netzwerk

NIC-Teaming, ein PC im gleichen Subnetz direkt am Server

Frage von ErwinSWindows Netzwerk23 Kommentare

Guten Abend zusammen! Aus Performance-Gründen wollen wir einen Server (IBM x3500 M4) über zwei im Fußboden verlegte Netzwerkkabel per ...

Sicherheit

Empfehlung: Fritzbox einrichten mit Content-Filter ausschließlich für Gästezugang

Frage von freeskierchrisSicherheit3 Kommentare

Hallo, ich plane momentan unseren Feriengästen ein "Gäste-WLAN" anzubieten. Dazu möchte ich meine bestehenden Telekom-Speedport - Router durch eine ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 6 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...