Gesamten Traffic über Pi laufen lassen

Quote from Trolleule

Was ich allerdings nicht verstehe ist, warum brauche ich 2 eth interfaces.

Ich würde sagen, um bei einem solchen als Firewall-Router funktionierenden Gerät das interne Netz vom externen Netz durch eigene Subnets zu isolieren. Solange sich allerdings eh alles im gleichen Subnet des meist obligatorischen DSL-Routers abspielt, halte ich so eine Aktion für unsinnig und reine Makulatur. BTW, was sollte einen Client überhaupt davon abhalten, nicht einfach direkt das Standard-Gateway des DSL-Routers zu nutzen...?... ob vom User gewollt oder mit oder ohne dessen Erlaubnis/Kenntnis ist dabei nicht mal die Frage.

Was soll denn da überhaupt mit welchem Ziel getrackt werden? Bestimmte IPs? Bestimmte Ports? Bestimmte Clients? Bestimmte Domains? Alles? Das sieht mir eher nach Datenschutz-Panikattacke und Aluhut-Neurose aus... ... sorry, das war jetzt gemein... aber nicht wirklich böse gedacht... *lol*... mein Rat wäre, vergisses einfach, damit ist meiner Meinung nach keine Erfolgsaussicht -für was auch immer- verbunden.

Es ist imho egal, was Du da Netzwerk-Hardware-Technisch einrichtest... keine Deiner Maßnahmen wird an den sowieso vorhandenen Stärken des DSL-Router (inbound-Filter) herankommen, noch die durch Unkenntnis sowieso vorhandenen obligatorischen Schwächen bei der Administration des Netzwerks, der Systeme und die Risiken durch den größten Gefährder (der User selber) beseitigen können.

Wie mein Vorredner schon völlig richtig in der Signatur stehen hat... und was ich genau so sehe: Glaube ersetzt kein Wissen. Und auf Glauben basierende Sicherheitsmechanismen sind keine Sicherheitsmechanismen.

Quote from Trolleule

Also wenn man vom gesamten Datenverkehr (alle ausgehenden Pakete) eines PCs spricht, was bedeutet das genau, welcher Teil des Routers bzw. welcher Dienst regelt das.

Starte einfach mal auf Deinem Pi als root den folgenden Befehl:

tcpdump -n -i enp2s0 not ether proto 0x088e1 and not ether proto 0x08912

Bitte vorher mit ip a nur prüfen, wie Dein Netzwerkinterface heisst, enp2s0 ist nämlich das auf meinem PC.

Falls es den Befehl nicht geben sollte und die Meldung

bash: tcpdump: Kommando nicht gefunden.

kommt, kannst Du das Programm wie folgt installieren:

apt update; apt install tcpdump

Mit diesem Befehl siehst Du den Datenverkehr auf Deinem Raspberry Pi, und zwar -ich denke- für TCP und UDP. Auf einem Router vervielfacht sich das natürlich, weil ja da alles von allen Clients (PCs, Handys, Smart-TV, IOT-Devices, etc.) zusammenläuft. Ich glaube, bevor man sich an solche Sachen heranwagt, sollte man ein Grundverständnis haben, was TCP/IP und UDP/IP sind, was TCP von UDP unterscheidet, und was IP von TCP/UDP unterscheidet... sowie was die jeweiligen Aufgaben sind. Weiterhin ist ein Verständnis darüber wichtig, was IP-Adressen überhaupt sind, was Site-ID (resp. subnet) und Machine-ID (NIC-identifier) bedeutet und wie das in der IP-Adresse abgebildet ist. Und last but not least, was ist IPv4 und IPv6, warum braucht IPv6 kein NAT und kann trotzdem Anonymisierung unterstützen? All das ist die zwingend notwendige Grundausstattung an Sachkenntnis für einen Router, etwa vergleichbar mit dem ebenso zwingend notwendigen Wissen bei Autos, welche Funktionen die Pedale für Kupplung, Bremse, Gas und die Feststellbremse haben. Aber letzteres zu wissen bedeutet trotzdem nicht, ein Auto sicher im Straßenverkehr fahren zu können. Dazu gehört deutlich mehr.

Quote from Trolleule

Aber was genau bedeutet das, ein anderes Gerät als Gateway zu verwenden?

Das ist eine Aussage dafür, warum ich all das, was ich oben angesprochen habe, hier nicht erkenne. Ich habe mich auf meiner Seite sehr umfassend mit dem Thema Netzwerk-Sicherheit befasst.... versuch das mal zu lesen... ich glaube, das eignet sich einigermaßen für einen laientauglichen Überblick über die Zusammenhänge. Zuerst von hier nur Kapitel 1, und dann von hier die Berücksichtigung von ganz bestimmten TCP- und UDP-Datenverkehr, also genau das, was Du ja oben mit Firewall und Tracking angesprochen hast.

Quote from Trolleule

Ich bin neu im Pi/Linux Business

Das ist der Grund, warum ich Dir empfehle, mit leichteren aber dafür erfolgversprechenderen Aktionen anzufangen. Dazu würde ich empfehlen, zunächst mal einfach nur Linux-Systeme in Betrieb zu nehmen, mit und ohne grafischen Environment, lernen was SSH ist, Samba, Cups, Rechteverwaltung und warum sudo ein exploit sein kann, Netzwerkverbindungen, systemd, scripting-möglichkeiten. Richte einfach mal einen Mailserver auf dem PI ein, oder einen Samba-Server, oder einen Print-Server, um erstmal eine Vorstellung zu bekommen, was Administration überhaupt bedeutet... den Mailserver findest Du auch auf meiner Seite.

Ich glaube nicht, dass man sich als 16-jähriger Fahranfänger ohne jegliche Fahrpraxis zur Rushhour auf die Autobahn begeben sollte, oder sich als Laie an ein hochspezialisiertes Thema begeben sollte, für das verantwortliche Leute eine jahrelange Ausbildung bekommen. Gehen tut immer alles, weil Linux tatsächlich auch fast alles unterstützt, sogar das schädliche.... es bleibt deshalb die Frage unbeantwortet, ob Du mit solcher Vorgehensweise die Sicherheit Deines Netzwerkes verbesserst oder vielleicht sogar auch gravierend verschlechterst.

Du kannst auf Deinem Pi oder auf deinen System wirklich alles einrichten.... Du musst Dir nur vorher die Frage nach dem Sinn stellen, wenn Du weder nachvollziehen kannst, was da wann und warum passiert, noch eine Möglichkeit hast, dass alles zu kontrollieren oder zielgerichtet zu beeinflussen. Wenn Du das alles einrichtest und es läuft quasi nur geduldet per copy&paste, aber letztlich unkontrolliert und der Wunsch nach Sicherheit ist der einzige Vater des Gedankens, das sag ich "vergiss den Scheiss, das schadet mehr, als es nutzt."

Ich halte die allgemein fehlende Medien-Kompetenz mit für das größte Dilemma unserer Zeit. Diese fehlende Kompetenz ist die Grundlage dafür, dass die derzeitige Regierung unseren demokratischen Grundrechte immer mehr beschneidet und damit auf dem besten Weg ist, Demokratie vollständig durch einen Überwachungsstaat und eine Fassaden-Demokratie zu ersetzen. Das funktioniert nur, weil die meisten Leute am PC schlichtweg ungebildet sind und sich nach Strich und Faden von den Massenmedien verarschen und belügen lassen. Deine Motivation das Thema besser zu verstehen, ist unbedingt zu begrüßen, das müssten sogar viel mehr Leute so sehen... nur solltest Du einen besseren Start in das Thema wählen, eine bessere, solidere Grundlage schaffen.

jm2c

Quote from Jürgen Böhm

Meinen Fernseher und meinen Blueray-Player habe ich das "Nachhausetelefonieren" auf die Weise erstmal abgewöhnen können.

Das kann jede Fritzbox seit Jahren von Hause aus. Man setzt einfach unter Zugangsprofile das Profil "Standard" auf "Gesperrt" und schon hat kein einziges der lokalen Geräte mehr einen Zugriff aufs Internet, weder bestehende noch neue. Danach noch eben das Profil der gewollten Geräte individuell auf "unbeschränkt" setzen und das Problem ist gelöst. Das verhindert auch, dass man neu hinzugekommen Geräte vergisst, oder das sich Geräte an einer möglicherweise zweifelhaft/dilettantisch eingerichteten eigenen Sperre vorbeischleichen können... das würde dann dann nur mit MAC-Spoofing gehen... aber daran glaube ich nicht, das unsereTVs das können, auch nicht die Web-Cams.

Ich werde zur eigenen befriedigenden Feststellung regelmäßig mit dieser Fritten-Sperre konfrontiert, weil wirklich jeder neue VM erstmal scheitert, eben weil sie keinen Zugriff aufs Web hat.... und genau so solls ja auch sein. Das Heckmeck mit nem eigenen Proxy halte ich jedenfalls hier für eher schädlich. Ausgenommen ist natürlich Pihole.... das hat sich hier bei mir alleinig als DNS-Filter ganz zweifellos als absolut vorteilhaft etabliert.

Quote from framp

Ist ein Router der mit PiHole, wireshark und ntopng nützliche Tools beinhaltet um Netzwerktraffic zu analysieren und zu monitoren.

:::

...und es funktioniert perfekt

Das es perfekt funktioniert würde ich nie anzweifeln. Das betrifft ja ebenso ganz viele Projekte/Tutorials aus dem Web, copy+paste=rennt. Der Unterschied hier ist imho, Du weisst, was Du warum tust, wie man Fehler beseitigt, wie man Logs inerpretiert, kannst die richtigen Rückschlüsse ziehen. Kannst Du deswegen kurz mal einschätzen, welche Sachkenntnis dazu notwendig ist, um aus solchen Daten pragmatische und sinnvolle Rückschlüsse zu ziehen, um dann ggf. drüber zielgerichtete Maßnahmen einzuleiten? Ich vermute, oder besser ich bin mir eigentlich ziemlich sicher darin, dass sich Deine Einschätzung doch eher recht nahe an meiner befindet....

Quote from Jürgen Böhm

Die hat aber nicht jeder. Und das ist auch nicht das Thema, sondern eher OT.

Du hast das Thema sekundäre Netzwerk-Peripherie-Geräte angesprochen, nicht ich. Diesen Filter beherrschen jedenfalls meinen beiden Fritzboxen, ebenso beide TP-Link-Router, ein älterer UMTS-Router und auch ein alter Netgear-Router. Daraus würde ich ableiten, dass das Standard-Funktionalität ist.