Raspberry Pi 4 als Firewall

  • Hi Leute :)


    Ich bin's wieder! ...und natürlich wieder mit einer neuen Idee:


    Ich überlege meinen Raspberry Pi 4 mit 4GB RAM als Firewall einzusetzen.

    Da wir hierzu ja mindestens 2 NICs benötigen dachte ich an einen oder ggf. 2x USB3 LAN Adapter um die 2. und 3. Netzwerk Schnittstelle nachzurüsten.


    Ich hab hier über die SuFu bereits alles zu den Stichwörtern Firewall OpenWRT OPNSense etc. durchwühlt, bin aber irgendwie nicht sonderlich fündig geworden.

    Scheint für die allermeissten nicht so das Thema zu sein, aber ich probier's trotzdem mal - vielleicht findet sich ja ein geneigter Leser der ein paar Ideen beisteuern kann.


    Hintergrund ist, dass ich eine möglichst gut konfigurierbare Firewall aufbauen will die einen möglichst geringen Stromverbrauch hat aber dennoch einen selbst gehosteten Cloudserver auf dem mit mehrere Dienste laufen nach aussen Absichert.

    Auf dem Raspi darf gerne auch der Reverse-Proxy laufen und die Firewall sollte mindestens IPS beherrschen und idealerweise Geo IP Filtering.


    Hat sich mal jemand mit so etwas näher beschäftigt und ein paar Ideen? :denker:


    LG

    Chris


    :danke_ATDE:

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • Hi Chris,


    schau mal hier: Raspberry Pi als LTE Router

    Habe gerade ein ähnliches Projekt am Laufen. Vielleicht können wir uns ja gegenseitig unterstützen.


    Für meine Anforderungen sollte mein Pi4 auf jeden Fall reichen. Hatte das gleiche Setup vorher mit Pi3 laufen. Da hatte ich die Probleme wie jetzt nicht, dafür hatte ich Performance-Themen, wenn ich Videokonferenzen (WebEx, Zoom etc.) laufen hatte. Amazon Streaming lief einwandfrei. Wollte mit dem Pi4 einfach nur eine Fehlerquelle ausschließen und habe jetzt eine neue andere Fehlerquelle ;)


    Wie möchtest Du Deine Firewall umsetzten? Zu Fuß per iptables oder durch Pakete wie z.B. ufw?


    Grüße

  • 1 + 1einfacher vlan-fähiger Switch tuts auch.


    openwrt:

    https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi + allg. openwrt-Doku

    VLAN Tagging macht Sinn um den Datenstrom vom restlichen Netzwerk abzugrenzen, aber ich brauche die volle Bandbreite also 950 KBit Minimum.

    Ich hatte auch mal kurz darüber nachgedacht einen 2.5GBit Switch anzuschaffen und die beiden USB 3.0 Ports des Raspi mit zwei Multi-Gigabit LAN Adapter anzubinden um den Datensatz zu erhöhen. Allerdings habe ich (noch) kein Fiber-Hausanschluss, weshalb die 50MBIt Upstream sowieso das Nadelöhr sind.

    Deshalb macht Multi-Gigabit LAN erst Sinn, wenn ich auch wenigstens 1 GigBit im Upstream bekomme.

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • (...)

    Wie möchtest Du Deine Firewall umsetzten? Zu Fuß per iptables oder durch Pakete wie z.B. ufw?

    Ich bin mir noch unschlüssig - In der Firma haben wir Zyxel Firewalls und früher hatte ich Fortinet, Cisco und noch ein paar andere Anbieter konfiguriert - die machen ja eh alle das selbe und über die CLI sind sogar die meissten Befehle nahezu identisch.

    Was ich auf jedenfall als "must have" sehe ist ein automatisches Geo IP Filtering und natürlich IPS. Geo IP Filtering wirst du mit iptables wohl nicht hinbekommen, da tippst du dir die Finger wund und ausserdem ändern sich die Ranges ja auch immer wieder.

    Ich habe irgendwo gelesen, dass OPNSense ein recht gutes und einfach zu konfigurierendes Geo IP Filtering hat, aber ich weiß noch nicht ob ich diese auf dem Raspi zum Laufen kriege...

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • aber ich brauche die volle Bandbreite also 950 KBit Minimum.

    Du meinst MBit/s oder?

    Hat schon mal jemand NBase-T oä. auf einem RPi über USB3 getestet um zu sehen, was da realistisch zu erwarten ist?

    Menschen die keine Ironie verstehen finde ich super!

  • Du meinst MBit/s oder?

    Hat schon mal jemand NBase-T oä. auf einem RPi über USB3 getestet um zu sehen, was da realistisch zu erwarten ist?

    Ja MBit natürlich. :) Es gibt zwar einige Tests - z.b. von Heise c't aber die haben keinen Raspi Unterbau sondern einen üblichen Laptop und dann noch ein paar Tests welche die Adapter unter Laborbedingungen testen. Ich bin mir halt wegen des Raspi noch zu unsicher um wirklich eine gesicherte Entscheidung zu liefern. Eine SOHO Appliance z.B. von OPNSense ist bereits ab 300 Euro zu haben... und die hat gesicherte 950MBit/s. Da frage ich mich auch schon ob ich mir die Bastelei antun will oder einfach auf was Fertiges zurückgreife. Aber der Raspi liegt halt noch rum... :/

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • Mach beides: Kaufen und Basteln. Das Gekaufte kannst du nach erfolgreichem Basteln ja wieder verkaufen ;)^^^^

  • ... oder ich verticke den Raspi 4 ;)

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.