View previous topic :: View next topic |
Author |
Message |
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 2:32 pm Post subject: Gentoo als Firewall mit RasperryPie |
|
|
Hallo Forum,
Da immer mehr Angriffe auf Router zu verzeichnen sind und ich leicht sicherheitsfanatisch bin, überlege ich mir nen Rasperry Pie als Firewall zuzulegen. Haltet ihr dieses Vorgehen für sinnvoll? Ich habe langsam einfach die Backen voll von schlecht gestopften Sicherheitslücken, Backdoors usw. Und für mich kommt mittlerweile nur noch Gentoo in Frage.
Das System soll keine Gui oder sonstiges haben und nur auf die wichtigsten Pakete beschränkt werden.
Was meint ihr was ich so brauche? Minimum ein Raspi und eine USB-Netzwerkkarte? Kann da jemand etwas empfehlen und reicht auch das kleine Modell vom Raspi? Allerdings habe ich gelesen, dass der Raspi auch teilweise ClosedSource ist, was mir auch wieder nicht gefällt. Gibt es eine stromsparende Alterntive, die komplett mit OpenSource Treibern betrieben werden kann?
Viele Grüße
Chris
Edit: Passenderweise wurde mir gerade ein olles Netbook angeboten, was verbraucht denn sowas an Strom, Leistung wäre zumindest genug da? |
|
Back to top |
|
|
bell Guru
Joined: 27 Nov 2007 Posts: 510
|
Posted: Wed Mar 05, 2014 2:57 pm Post subject: |
|
|
Ich nutze Gentoo als Firewall auf einem Home-Server. Nicht wegen der Sicherheit sondern wegen der Leistungsfähigkeit. Hab also ein 24/7 System welches "nebenbei" Fouter/Firewall ist und an sonsten OwnCloud Webserver, Media-Center und vieles mehr macht.
Wenn Dir "nur" die Sicherheit und Sparsamkeit wichtig ist, und Du gar nicht die Leistung benötigst, schaue Dir lieber das OpenWRT Projekt an. Es ist eine Open-Source Linux-Firmware mit eigenem Paketmanager und dem nötigsten. Suche Dir einen Router der damit laufen kann und nutze es. Wenn Du ganz sicher sein willst, checkst Du SVN aus und baust Dir Deine Firmware selbst. Mit "make config" konfigurieren was Du in der Firmware brauchst und dann mit "make" bauen. Das genze hat etwas vom Gentoo-Feeling, nur dass Du keine Ebuilds hast sondern *.mk Dateien. |
|
Back to top |
|
|
cryptosteve Veteran
Joined: 04 Jan 2004 Posts: 1169 Location: GER
|
Posted: Wed Mar 05, 2014 3:00 pm Post subject: |
|
|
Und Gentoo auf einem raspi geht, aber spaßig ist was anderes. Der Raspi ist zum Kompilieren nach heutigen Maßstäben schon brutal langsam und man muss viel Zeit und Leidenschaft mitbringen, um da ein gutes Setup aufzusetzen.
Mein Vorschlag wäre daher: eine Binärdistribution nehmen (alternative crosscompilen, aber das ist für Leute ohne Kenntnis (wie mich) nicht mal eben zwischen Tür und Angel aufgesetzt), oder 'ne Kiste mit etwas mehr Dampf. _________________ - born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 3:03 pm Post subject: |
|
|
An OpenWrt habe ich schon gedacht, sagt mir aber nicht zu. Ich dachte auch direkt noch daran einen Radius-Server aufzusetzen, da in meinem Haus insgesamt 3 Parteien mein Internet nutzen, mit insgesamt 16 Geräten die mittlerweile online sind. Daher wäre ein Radius-Server recht praktisch. |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 3:04 pm Post subject: |
|
|
cryptosteve wrote: | Und Gentoo auf einem raspi geht, aber spaßig ist was anderes. Der Raspi ist zum Kompilieren nach heutigen Maßstäben schon brutal langsam und man muss viel Zeit und Leidenschaft mitbringen, um da ein gutes Setup aufzusetzen.
Mein Vorschlag wäre daher: eine Binärdistribution nehmen (alternative crosscompilen, aber das ist für Leute ohne Kenntnis (wie mich) nicht mal eben zwischen Tür und Angel aufgesetzt), oder 'ne Kiste mit etwas mehr Dampf. |
Das könnte man ja wieder mit DistCC und eben Crosscompiling umgehen, da hätte ich jetzt keine Bedenken. |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 565 Location: münchen.de
|
Posted: Wed Mar 05, 2014 3:04 pm Post subject: |
|
|
Aus dem gleichen Grund habe ich mir vor Kurzem auch einen Raspberry Pie zugelegt. Bei mir arbeitet der jetzt als WLAN AP hinter der Fritzbox. An den Firewall regeln muss ich noch etwas schrauben, aber wenn das mal soweit passt, werde ich die Fritzbox abbauen und mir stattdessen ein dediziertes DSL Modem besorgen.
ClosedSource ist soweit ich weiß nur die Firmware, vorallem der Grafik Stack. Da mein Router ohne GUI auskommt, habe ich das auch nicht installiert. _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
cryptosteve Veteran
Joined: 04 Jan 2004 Posts: 1169 Location: GER
|
Posted: Wed Mar 05, 2014 3:09 pm Post subject: |
|
|
Turtlecrabman wrote: | Das könnte man ja wieder mit DistCC und eben Crosscompiling umgehen, da hätte ich jetzt keine Bedenken. |
Denn mal viel Spaß .. und bitte immer ordentlich mitschreiben, denn die letzten Tutorials, die ich zu dem Thema durchgeackert habe, haben mich irgendwann abgehängt oder haben mein originäres Setup versaut. _________________ - born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 3:12 pm Post subject: |
|
|
cryptosteve wrote: | Turtlecrabman wrote: | Das könnte man ja wieder mit DistCC und eben Crosscompiling umgehen, da hätte ich jetzt keine Bedenken. |
Denn mal viel Spaß .. und bitte immer ordentlich mitschreiben, denn die letzten Tutorials, die ich zu dem Thema durchgeackert habe, haben mich irgendwann abgehängt oder haben mein originäres Setup versaut. |
Ok, mache ich:-)
Ich habe jetzt mal ein bisschen geguckt, ich denke der Raspy ist nix für mich, ich spiele eher mit dem Cubietruck, der hätte auch ausreichend Leistung, und wie lange der kompiliert ist mir eigentlich wurscht. Der kann ja laufen. |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 3:30 pm Post subject: |
|
|
forrestfunk81 wrote: | Aus dem gleichen Grund habe ich mir vor Kurzem auch einen Raspberry Pie zugelegt. Bei mir arbeitet der jetzt als WLAN AP hinter der Fritzbox. An den Firewall regeln muss ich noch etwas schrauben, aber wenn das mal soweit passt, werde ich die Fritzbox abbauen und mir stattdessen ein dediziertes DSL Modem besorgen.
ClosedSource ist soweit ich weiß nur die Firmware, vorallem der Grafik Stack. Da mein Router ohne GUI auskommt, habe ich das auch nicht installiert. |
Und warum nutzt du den Raspy nicht auch als Modem? So hatte ich mir das vorgestellt? Gibt es da Hindernisse? |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 565 Location: münchen.de
|
Posted: Wed Mar 05, 2014 4:43 pm Post subject: |
|
|
cryptosteve wrote: | Turtlecrabman wrote: | Das könnte man ja wieder mit DistCC und eben Crosscompiling umgehen, da hätte ich jetzt keine Bedenken. |
Denn mal viel Spaß .. und bitte immer ordentlich mitschreiben, denn die letzten Tutorials, die ich zu dem Thema durchgeackert habe, haben mich irgendwann abgehängt oder haben mein originäres Setup versaut. |
Ich bin dem Gentoo Wiki Artikel gefolgt. Hat auf Anhieb funktioniert, hatte aber DistCC mit anderen Maschinen schon vorher am Start.
Turtlecrabman wrote: | forrestfunk81 wrote: | Aus dem gleichen Grund habe ich mir vor Kurzem auch einen Raspberry Pie zugelegt. Bei mir arbeitet der jetzt als WLAN AP hinter der Fritzbox. An den Firewall regeln muss ich noch etwas schrauben, aber wenn das mal soweit passt, werde ich die Fritzbox abbauen und mir stattdessen ein dediziertes DSL Modem besorgen.
ClosedSource ist soweit ich weiß nur die Firmware, vorallem der Grafik Stack. Da mein Router ohne GUI auskommt, habe ich das auch nicht installiert. |
Und warum nutzt du den Raspy nicht auch als Modem? So hatte ich mir das vorgestellt? Gibt es da Hindernisse? |
Mit welcher Hardware sollte man das denn umsetzen? Man bräuchte ja sowas wie ein USB DSL Modem. Sowas habe ich noch nie gesehen. Auf der Suche danach bin ich darauf gestoßen, dass wohl mittlerweile sogar die meisten PCI DSL Modems nicht mehr produziert werden, da jeder einen Router einsetzt und sich die PCI DSL Modems nicht mehr verkaufen. _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 4:58 pm Post subject: |
|
|
forrestfunk81 wrote: | Mit welcher Hardware sollte man das denn umsetzen? Man bräuchte ja sowas wie ein USB DSL Modem. Sowas habe ich noch nie gesehen. Auf der Suche danach bin ich darauf gestoßen, dass wohl mittlerweile sogar die meisten PCI DSL Modems nicht mehr produziert werden, da jeder einen Router einsetzt und sich die PCI DSL Modems nicht mehr verkaufen. |
Ich meinte nicht den PI, sondern die Fritze. Ich würde die Fritzbox dann nur noch als Modem laufen lassen und den Rest dann den PI,Beagle oder was auch immer machen lassen. Obwohl nen DSL-Modem am Pi natürlich nicht schlecht wäre.
Edit: Wie ich gerade festgestellt habe, gibt es in der 7390 nun überhaupt gar keine Möglichkeit mehr die Fritze nur noch als Modem zu betreiben. Sehr schade. Mal sehen was man da machen kann. |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 565 Location: münchen.de
|
Posted: Wed Mar 05, 2014 5:21 pm Post subject: |
|
|
Man kann an der Fritzbox WLAN, DECT, NAS, etc abschalten. Dann bleibt von der Fritzbox nicht allzuviel mehr übrig als ein DSL Modem. So hab ich das momentan am Laufen. Trotzdem ist dann aber der Fernwartungszugriff (TR-069) noch aktiv. Gut... es sollte nur der Provider darauf Zugriff haben und der kommt dabei auch nicht an mehr/weniger ran, als auf seiner Seite des Telefonkabels. Von daher ist der Austausch der Fritzbox durch ein reines DSL Modem vielleicht nur was für Aluhutträger Aber wenn ich wieder Zeit und Lust habe, werde ich das vllt machen.
Edit:
Alternativ zu den schon genannten Optionen Router-Selbstbau und OpenWrt ist vielleicht auch Freetz einen Blick wert. Erfahrung habe ich damit aber keine. _________________ # cd /pub/
# more beer
Last edited by forrestfunk81 on Wed Mar 05, 2014 5:26 pm; edited 1 time in total |
|
Back to top |
|
|
Turtlecrabman n00b
Joined: 19 Nov 2013 Posts: 42 Location: Jena
|
Posted: Wed Mar 05, 2014 5:26 pm Post subject: |
|
|
forrestfunk81 wrote: | Man kann an der Fritzbox WLAN, DECT, NAS, etc abschalten. Dann bleibt von der Fritzbox nicht allzuviel mehr übrig als ein DSL Modem. So hab ich das momentan am Laufen. Trotzdem ist dann aber der Fernwartungszugriff (TR-069) noch aktiv. Gut... es sollte nur der Provider darauf Zugriff haben und der kommt dabei auch nicht an mehr/weniger ran, als auf seiner Seite des Telefonkabels. Von daher ist der Austausch der Fritzbox durch ein reines DSL Modem vielleicht nur was für Aluhutträger Aber wenn ich wieder Zeit und Lust habe, werde ich das vllt machen. |
TR069 kann man problemlos (und den restlichen Spass eigentlich auch) mit Freetz rauskicken. Schade das iptables immer noch unstable auf der Fritze ist. |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 565 Location: münchen.de
|
Posted: Wed Mar 05, 2014 5:43 pm Post subject: |
|
|
Turtlecrabman wrote: | forrestfunk81 wrote: | Man kann an der Fritzbox WLAN, DECT, NAS, etc abschalten. Dann bleibt von der Fritzbox nicht allzuviel mehr übrig als ein DSL Modem. So hab ich das momentan am Laufen. Trotzdem ist dann aber der Fernwartungszugriff (TR-069) noch aktiv. Gut... es sollte nur der Provider darauf Zugriff haben und der kommt dabei auch nicht an mehr/weniger ran, als auf seiner Seite des Telefonkabels. Von daher ist der Austausch der Fritzbox durch ein reines DSL Modem vielleicht nur was für Aluhutträger Aber wenn ich wieder Zeit und Lust habe, werde ich das vllt machen. |
TR069 kann man problemlos (und den restlichen Spass eigentlich auch) mit Freetz rauskicken. Schade das iptables immer noch unstable auf der Fritze ist. |
Da war mein Edit wohl etwas zu langsam
Das Modifizieren mit Freetz ist eigentlich eine gute und günstige Alternative im Vergleich zum DSL Modem Kauf. Im Keller müsste noch ne alte Fritzbox liegen, damit werd ich das mal ausprobieren.
Der Cubietruck sieht übrigens auch nett aus. Aber Performance-seitig hatte ich bisher noch keine Probleme mit dem Pi. _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
|