Hardwarefirewall für kleines Büro
Hallo zusammen,
ich suche für ein Büro mit 3 Clients eine Hardwarefirewall. Bisher schützt nur ein Arcorrouter das Netzwerk, was ich bei einem Steuerbüro für unzureichend empfinde.
Demnächst wird vermutlich ein SBS 2003 Server angeschafft. Eigentlich benötigt dieser keine Internetanbindung, ich überlege nur ob ich die Premiumlizenz nutzen sollte, um den ISA Server mitzubenutzen.
Ich bin ehrlich, habe bisher noch keinen ISA Server eingerichtet, würde mich aber gerne auf diesem Gebiet weiterbilden.
Sollte es doch eine Hardwarefirewall werden hatte ich die Zywalls von Zyxel im Blick:
Die USG 100 hätte für mein Konzept einen ansprechenden Preis, wie sieht es da mit der Sicherheit aus?
Es gibt noch eine Zywall 2 Plus, die gerade einmal 130 Euro kostet, ist für diesen Preis überhaupt etwas zu erwarten?
Viele Grüße
Sacha
ich suche für ein Büro mit 3 Clients eine Hardwarefirewall. Bisher schützt nur ein Arcorrouter das Netzwerk, was ich bei einem Steuerbüro für unzureichend empfinde.
Demnächst wird vermutlich ein SBS 2003 Server angeschafft. Eigentlich benötigt dieser keine Internetanbindung, ich überlege nur ob ich die Premiumlizenz nutzen sollte, um den ISA Server mitzubenutzen.
Ich bin ehrlich, habe bisher noch keinen ISA Server eingerichtet, würde mich aber gerne auf diesem Gebiet weiterbilden.
Sollte es doch eine Hardwarefirewall werden hatte ich die Zywalls von Zyxel im Blick:
Die USG 100 hätte für mein Konzept einen ansprechenden Preis, wie sieht es da mit der Sicherheit aus?
Es gibt noch eine Zywall 2 Plus, die gerade einmal 130 Euro kostet, ist für diesen Preis überhaupt etwas zu erwarten?
Viele Grüße
Sacha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114670
Url: https://administrator.de/forum/hardwarefirewall-fuer-kleines-buero-114670.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
38 Kommentare
Neuester Kommentar
Hallo,
ich kann dir da nur die DEFENDO von der Firma Linogate (www.linogate.de) empfehlen. Gerade für kleine Umgebungen bieten diese Kisten alles was man für Netzwerk, Mailserver, und Sicherheit benötigt. Habe dieses Produkt schon sehr häufig bei Kunden eingesetzt und läuft tadelos... vor allem ein deutsches Produkt mit guten deutschen Support!
Gruß Schnief
ich kann dir da nur die DEFENDO von der Firma Linogate (www.linogate.de) empfehlen. Gerade für kleine Umgebungen bieten diese Kisten alles was man für Netzwerk, Mailserver, und Sicherheit benötigt. Habe dieses Produkt schon sehr häufig bei Kunden eingesetzt und läuft tadelos... vor allem ein deutsches Produkt mit guten deutschen Support!
Gruß Schnief
Was sollte am Arcor Router so unsicher sein?
Da läuft auch nur eine Firewall, und die lässt Pakete durch oder nicht durch.
Man kann freilich auch was anderes kaufen wo dann irgendein anderer Name draufsteht - der macht jedoch auch nix anderes.
Empfehlenswert wäre eine kleine Astaro ASG110, die bietet auch Webproxy mit Contentfilter, SMTP Relay mit SPAM Filter, Remote Access, Site-to-Site VPN und viele zusätliche einfach einzurichtende Funktionen (Masquerading, Source/Destination NAT usw). Die Bedienung ist vergleichsweise easy, wenn man mit Konkurenzprodukten vergleicht.
Ist aber auch "nur" ein Suse Linux, und jedes Betriebssystem ist theoretisch angreifbar, sei es das Linux auf einem Arcor Router oder irgendwas beliebig anderes.
Wie wäre die Kombination - Arcor Router FW weiter verwenden, und zusätziich auf den drei Clients die XP Firewall aktivieren und auf dem Server die Zugriffe auch mit der eingebauten FW einschränken, so dass nur die drei Clients auf den Server zugreifen können.
Das Risiko von aussen gekapert zu werden liegt damit zwischen null und nix, und man hat keinen müden Euro ausgegeben.
Viel wahrscheinlicher ist es dass man "aus versehen" von innen durch infizierte Clients die Tür aufmacht und beispielsweise ein Trojaner auf einem Client von innen nach draussen kommuniziert, völlig egal was für eine FW am Internetzugang steht.
Gefahren lauern eher bei kopflosem Internetsurfen ohne contentfilter oder mit lokalen administrativen Rechten (es gibt zig infizierte Webseiten draussen die Browserschwächen ausnutzen), schlechtem Emailfilter (infizierende anhänge), mitgebrachten privaten Notebooks die Schädlinge ins Netz schleppen können (Conficker Wurm...), sowie die Systeme nicht regelmässig upzudaten. Ein infizierter Client im Netz öffnet die Tür nämlich "von innen", egal was für ne Firewall vor dem "pösen" Internet schützen soll.
Gruss von einem Praktiker.
Da läuft auch nur eine Firewall, und die lässt Pakete durch oder nicht durch.
Man kann freilich auch was anderes kaufen wo dann irgendein anderer Name draufsteht - der macht jedoch auch nix anderes.
Empfehlenswert wäre eine kleine Astaro ASG110, die bietet auch Webproxy mit Contentfilter, SMTP Relay mit SPAM Filter, Remote Access, Site-to-Site VPN und viele zusätliche einfach einzurichtende Funktionen (Masquerading, Source/Destination NAT usw). Die Bedienung ist vergleichsweise easy, wenn man mit Konkurenzprodukten vergleicht.
Ist aber auch "nur" ein Suse Linux, und jedes Betriebssystem ist theoretisch angreifbar, sei es das Linux auf einem Arcor Router oder irgendwas beliebig anderes.
Wie wäre die Kombination - Arcor Router FW weiter verwenden, und zusätziich auf den drei Clients die XP Firewall aktivieren und auf dem Server die Zugriffe auch mit der eingebauten FW einschränken, so dass nur die drei Clients auf den Server zugreifen können.
Das Risiko von aussen gekapert zu werden liegt damit zwischen null und nix, und man hat keinen müden Euro ausgegeben.
Viel wahrscheinlicher ist es dass man "aus versehen" von innen durch infizierte Clients die Tür aufmacht und beispielsweise ein Trojaner auf einem Client von innen nach draussen kommuniziert, völlig egal was für eine FW am Internetzugang steht.
Gefahren lauern eher bei kopflosem Internetsurfen ohne contentfilter oder mit lokalen administrativen Rechten (es gibt zig infizierte Webseiten draussen die Browserschwächen ausnutzen), schlechtem Emailfilter (infizierende anhänge), mitgebrachten privaten Notebooks die Schädlinge ins Netz schleppen können (Conficker Wurm...), sowie die Systeme nicht regelmässig upzudaten. Ein infizierter Client im Netz öffnet die Tür nämlich "von innen", egal was für ne Firewall vor dem "pösen" Internet schützen soll.
Gruss von einem Praktiker.
Ich werde mich wohl doch erst weiter in die Materie einarbeiten, Geld
ausgeben kann man schnell^^
ausgeben kann man schnell^^
Vorteil einer kleinen Astaro ist halt die Proxyfunktionalität - die filtert recht effizient SPAM und riskante Webinhalte heraus, und man kann auch bestimmte Webinhalte sperren (z. B. Warez-Sites, Torrentsites usw).
Wenn die drei Userlein jedoch "diszipliniert" genug sind nicht die Arbeitszeit mit wildem Surfen und herunterladen privater Mails (auch ein gern gesehenes Schädlingseinfallsloch) zu verbringen dann kann man sich die Ausgabe auch sparen.
jede firewall ist sogut wie ihr administrator.
spacyfreak hat dir den richtigen ansatz gegeben.
ein ISA-Server ist zwar eine verdammt gute firewall nur 1 klick und sie ist offen wie ein scheunentor.
davon abgesehen: das wäre mit kanonen auf spatzen schiessen was du vorhast.
ich weis ja nicht ob die steuerkanzlei datev nutzt wenn ja, gibt eine gute antivirus und firewall lösung für die clients.
welche verbindungen müssen von ausen ins netzwerk? denke mal keine. somit kannst die ports dicht machen. wenn dir der arcor router zu unsicher ist. nimm eine fritzbox damit kann man das netzwerk von ausen schön abschotten. leicht zu bedienen und hat gute performence. für kleinnetzwerke wie deines eines ist ausreichend.
spacyfreak hat dir den richtigen ansatz gegeben.
ein ISA-Server ist zwar eine verdammt gute firewall nur 1 klick und sie ist offen wie ein scheunentor.
davon abgesehen: das wäre mit kanonen auf spatzen schiessen was du vorhast.
ich weis ja nicht ob die steuerkanzlei datev nutzt wenn ja, gibt eine gute antivirus und firewall lösung für die clients.
welche verbindungen müssen von ausen ins netzwerk? denke mal keine. somit kannst die ports dicht machen. wenn dir der arcor router zu unsicher ist. nimm eine fritzbox damit kann man das netzwerk von ausen schön abschotten. leicht zu bedienen und hat gute performence. für kleinnetzwerke wie deines eines ist ausreichend.
Also - wenn du keine Ports von aussen ins Netz leitest dann is eine weitere interne Firewall auch nur bedngt sinnvoll... Denn da wäre die Pflege der Rechner/Server wichtiger - da eine Firewall normal intern im Netz nichts mehr filtert...
Neben den Filter-Funktionen hat die Astaro noch den Vorteil das man relativ unkompliziert eine Remote-Einwahl per VPN realisieren kann ->zumindest für den Admin gern mal eine gute Hilfe... Aber auch das ist natürlich etwas was für jede Firma unterschiedlich gehandhabt wird...
Neben den Filter-Funktionen hat die Astaro noch den Vorteil das man relativ unkompliziert eine Remote-Einwahl per VPN realisieren kann ->zumindest für den Admin gern mal eine gute Hilfe... Aber auch das ist natürlich etwas was für jede Firma unterschiedlich gehandhabt wird...
Hallo,
schau dir mal die Produkte von Fortinet an (http://www.fortinet.com/) ). Das sind UTM-Appliances mit dem Schwerpunkt Firewall und zusätzlich noch VPN-Server (brauchst du wahrscheinlich nicht), Antivirus, Anti-SPAM, IDS/IPS.
mfg
Harald
schau dir mal die Produkte von Fortinet an (http://www.fortinet.com/) ). Das sind UTM-Appliances mit dem Schwerpunkt Firewall und zusätzlich noch VPN-Server (brauchst du wahrscheinlich nicht), Antivirus, Anti-SPAM, IDS/IPS.
mfg
Harald
Hallo!
Wir haben hier AVM KEN im Einsatz und das läuft ausgezeichnet.Haben sogar Webprotector drin und kann sogar Seiten sperren und ist als Cobionfilter drin.Werden alle Mails verteilt wie man es kann einfach nur ok.Nur der Support bei AVM ist schlimm da wusste ich mehr und die haben Fragen sogar falsch beantwortet.
Wir haben hier AVM KEN im Einsatz und das läuft ausgezeichnet.Haben sogar Webprotector drin und kann sogar Seiten sperren und ist als Cobionfilter drin.Werden alle Mails verteilt wie man es kann einfach nur ok.Nur der Support bei AVM ist schlimm da wusste ich mehr und die haben Fragen sogar falsch beantwortet.
Hallo,
Ich gebe den anderen Kollegen recht. Viele Router haben eine SPI Firewall an Board, aber keine Proxyserver integriert.
Ein sehr wichtiger Punkt bei einer Schutzlösung ist aber die Bedienbarkeit für den Administrator.
Wir nutzen daher schon seit Jahren die Lösungen von gateprotect. Diese aus Hamburg stammende Firewall-Lösung hat eine patentierte extrem einfach zu bedienende Oberfläche.
Fehlkonfigurationen sind damit fast unmöglich (Offline Testversion kann man herunterladen).
Fir ein kleines Netzwerk würde ich eine GPO75 oder besser eine GPO125 einsetzen. Damit erhält man einen guten Firewallschutz für kleines Geld.
Ein weiterer Vorteil ist der deutsche Hersteller-Support.
Viele Grüße
Marc
Ich gebe den anderen Kollegen recht. Viele Router haben eine SPI Firewall an Board, aber keine Proxyserver integriert.
Ein sehr wichtiger Punkt bei einer Schutzlösung ist aber die Bedienbarkeit für den Administrator.
Wir nutzen daher schon seit Jahren die Lösungen von gateprotect. Diese aus Hamburg stammende Firewall-Lösung hat eine patentierte extrem einfach zu bedienende Oberfläche.
Fehlkonfigurationen sind damit fast unmöglich (Offline Testversion kann man herunterladen).
Fir ein kleines Netzwerk würde ich eine GPO75 oder besser eine GPO125 einsetzen. Damit erhält man einen guten Firewallschutz für kleines Geld.
Ein weiterer Vorteil ist der deutsche Hersteller-Support.
Viele Grüße
Marc
im Hinblick auf den SBS2003 (warum eigentlich nicht SBS 2008?) einige Erfahrungen. Im Server unbedingt 2 Netzwerkkarten einbauen. So arbeitet der SBS als "Softwarefirewall". Also z.B. die interne LANkarte die Adresse 192.168.16.1, die zum Internet 192.168.1.2 (da der Router oft 192.168.1.1 hat).
Mit dieser Kofiguration und einem Router mit eingebauter Firewall (ich verwende Zyxel) hast Du bereits eine grosse Sicherheit erreicht. Dazu kommt noch ein automatisierter Malwareschutz (bei unsern Installationen Normen). Bisher hatten wir so abgesichert noch nie Probleme.
Auf den ISA würde ich verzichten. Die Webseite intern zu hosten macht nur Aufwand und keinen Sinn. Ebenfalls müssen bei 3 Arbeitsstationen auch keine Webseiten zwischengespeichert werden. Einziger Vorteil der Premiumversion ist meiner Meinung nach die SQL-Server-Lizenz
Beim SBS2008 gibt es zwei Dinge zu beachten.
1. es wird ein 64Bit Prozessor benötigt (meist ein Handicap bei vorhandenem Server)
2. es wird eine 120Tage Testversion von Forefront und Live OneCare mitgeliefert.
Hier darf man nicht vergessen, das Programm nachträglich zu lizenzieren oder
selber für Ersatz besorgt zu sein.
Viel Erfolg wünscht
Peter
Mit dieser Kofiguration und einem Router mit eingebauter Firewall (ich verwende Zyxel) hast Du bereits eine grosse Sicherheit erreicht. Dazu kommt noch ein automatisierter Malwareschutz (bei unsern Installationen Normen). Bisher hatten wir so abgesichert noch nie Probleme.
Auf den ISA würde ich verzichten. Die Webseite intern zu hosten macht nur Aufwand und keinen Sinn. Ebenfalls müssen bei 3 Arbeitsstationen auch keine Webseiten zwischengespeichert werden. Einziger Vorteil der Premiumversion ist meiner Meinung nach die SQL-Server-Lizenz
Beim SBS2008 gibt es zwei Dinge zu beachten.
1. es wird ein 64Bit Prozessor benötigt (meist ein Handicap bei vorhandenem Server)
2. es wird eine 120Tage Testversion von Forefront und Live OneCare mitgeliefert.
Hier darf man nicht vergessen, das Programm nachträglich zu lizenzieren oder
selber für Ersatz besorgt zu sein.
Viel Erfolg wünscht
Peter
Schließe mich an
Fortinet (z.B. ne Fortigate 50B oder noch kleiner ne Fortigate 30B)
Relative intuitiv via WebGUI zu bedienen und "mit allen Wassern" gewaschen.
Gruß Patrick
ps. haben rund 100 Weltweit seit ca. 4 Jahren im Einsatz (von 50 - 3016B) - sehr zuverlässig - robust - keinen einzigen Totalausfall
Fortinet (z.B. ne Fortigate 50B oder noch kleiner ne Fortigate 30B)
Relative intuitiv via WebGUI zu bedienen und "mit allen Wassern" gewaschen.
Gruß Patrick
ps. haben rund 100 Weltweit seit ca. 4 Jahren im Einsatz (von 50 - 3016B) - sehr zuverlässig - robust - keinen einzigen Totalausfall
Oder wenns etwas preiswerter sein soll:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
hallo sascha,
du hast hier schon die antivirus-frage gestellt.
versuch mal ein "pflichtenheft" zu erstellen und mit dem steuerberater abklären, was er braucht / will / (ausgeben) möchte und versuch eine sicherheitspolicy für das büro zu erstellen. dir nützt weder das eine noch das andere, wenn du kein durchdachtes konzept hast. der angriff kommt selten von aussen, sondern vom usb-stick des mitarbeiters, dem pda des chefs vom sohn des mitarbeiters der schnell mal seinen mp3 tanken möchte und ganz wichtig - der neffe des chefs nichts gegen den neffen - computerbild-leser sind gefärlich.
frag mal in deinem umfeld nach, ob dir ein kollege starthilfe gibt
viel spass dabei
bernd klee
du hast hier schon die antivirus-frage gestellt.
versuch mal ein "pflichtenheft" zu erstellen und mit dem steuerberater abklären, was er braucht / will / (ausgeben) möchte und versuch eine sicherheitspolicy für das büro zu erstellen. dir nützt weder das eine noch das andere, wenn du kein durchdachtes konzept hast. der angriff kommt selten von aussen, sondern vom usb-stick des mitarbeiters, dem pda des chefs vom sohn des mitarbeiters der schnell mal seinen mp3 tanken möchte und ganz wichtig - der neffe des chefs nichts gegen den neffen - computerbild-leser sind gefärlich.
frag mal in deinem umfeld nach, ob dir ein kollege starthilfe gibt
viel spass dabei
bernd klee
mach ein maximalkonzept mit groben preisen und lass das zusammenstreichen.
zum schluss rechnet der steuerberater wieder mit papier )
ich benutze für kleine netzte immer eine netgear-büchse fvs360g (ssl-vpn einwahl für mich, 4 gbit-ports und 2 mal wan), panda als antivirus und - auch wenn das nicht das schönste ist - 1und1 als email-provider mit eingeschaltetem antivirus. seit jahren kein schadcode über email. vergess im preis die wartungskosten nicht, der user kontrolliert nichts - auch wenn der das sagt.
mach in diesem zusammenhang gleich ein dasi konzept - gehört immer dazu. jeden tag reicht nicht! der kunde heult immer, wenn er die menge der bänder berechnet, er weiss aber meistens nicht das diese auch nur begrenzt halten - alles schon gehabt - glaub mir
bis online
bernd klee
zum schluss rechnet der steuerberater wieder mit papier )
ich benutze für kleine netzte immer eine netgear-büchse fvs360g (ssl-vpn einwahl für mich, 4 gbit-ports und 2 mal wan), panda als antivirus und - auch wenn das nicht das schönste ist - 1und1 als email-provider mit eingeschaltetem antivirus. seit jahren kein schadcode über email. vergess im preis die wartungskosten nicht, der user kontrolliert nichts - auch wenn der das sagt.
mach in diesem zusammenhang gleich ein dasi konzept - gehört immer dazu. jeden tag reicht nicht! der kunde heult immer, wenn er die menge der bänder berechnet, er weiss aber meistens nicht das diese auch nur begrenzt halten - alles schon gehabt - glaub mir
bis online
bernd klee
Hallo Pattrick,
die FG-30B gibt es nur für Projekte (bei Abnahmemengen ab 100 Stück), als kleinstes Modell bleibt somit die FG-50B übrig, die ist allerdings mehr als ausreichend.
Eine Alternative wäre, eine gebrauchte Fortigate z.B. bei ebay zu holen (hier wäre als kleinstes vernünftiges Modell eine FG-50A anzuraten, eine FG-50 ohne "A" oder "B" ist hardwareseitig total veraltet), allerdings besteht dann das Problem, das man ohne aktiven Support auch nicht auf die aktuelle Firmware zugreifen kann und auch keine aktualisierten Viren-/IDS-Pattern erhält und das ist schon sehr wichtig!
mfg
Harald
die FG-30B gibt es nur für Projekte (bei Abnahmemengen ab 100 Stück), als kleinstes Modell bleibt somit die FG-50B übrig, die ist allerdings mehr als ausreichend.
Eine Alternative wäre, eine gebrauchte Fortigate z.B. bei ebay zu holen (hier wäre als kleinstes vernünftiges Modell eine FG-50A anzuraten, eine FG-50 ohne "A" oder "B" ist hardwareseitig total veraltet), allerdings besteht dann das Problem, das man ohne aktiven Support auch nicht auf die aktuelle Firmware zugreifen kann und auch keine aktualisierten Viren-/IDS-Pattern erhält und das ist schon sehr wichtig!
mfg
Harald
Hi Haraldd (<- Rache fürs tt! )
das mit den 100 Stück wusste ich nicht - ich hab hier 2 Stück, was wohl aber daran liegt, dass wir kein so wirklich kleiner Kunde mehr sind. Ich meine sogar das die nichts gekostet haben. Allerdings gibt es durchaus Händler die die einzeln verkaufen. Google mal
Unbedingt ne 50A oder besser gleich ein 50B nehmen. Die 4.X Firmware kann man IMHO nur mit der 50B verwenden! Support ist dringend anzuraten!
Kann aber auch gebrauchte Fortigates verlängern. Sollte kein großes Problem sein.
Eine 50B liegt so um die 500,- eine 60B in bundle ist nicht wesentlich teurer sollte man einfach anfragen. Jeweils 1 Jahr all-inclusive-packet (das sind die normalen UVPs)
@SaschaB
Ich würde sowas immer gegenüber ein Lösung bevorzugen, wo Du erstmal Standard Hardware brauchst und evtl. noch ein OS vorher installieren musst. Es ist einfach deutlich zuverlässiger und oft auch sicherer!
Gruß
das mit den 100 Stück wusste ich nicht - ich hab hier 2 Stück, was wohl aber daran liegt, dass wir kein so wirklich kleiner Kunde mehr sind. Ich meine sogar das die nichts gekostet haben. Allerdings gibt es durchaus Händler die die einzeln verkaufen. Google mal
Unbedingt ne 50A oder besser gleich ein 50B nehmen. Die 4.X Firmware kann man IMHO nur mit der 50B verwenden! Support ist dringend anzuraten!
Kann aber auch gebrauchte Fortigates verlängern. Sollte kein großes Problem sein.
Eine 50B liegt so um die 500,- eine 60B in bundle ist nicht wesentlich teurer sollte man einfach anfragen. Jeweils 1 Jahr all-inclusive-packet (das sind die normalen UVPs)
@SaschaB
Ich würde sowas immer gegenüber ein Lösung bevorzugen, wo Du erstmal Standard Hardware brauchst und evtl. noch ein OS vorher installieren musst. Es ist einfach deutlich zuverlässiger und oft auch sicherer!
Gruß
Ich würde dir zu diesem DSL Router raten der hat alles drin was man braucht inklusive einer guten Firewall.
http://www.amazon.de/BinTec-X2302w-Wireless-Router-ADSL-Modem/dp/B000A5 ...
Gruß Marcus
http://www.amazon.de/BinTec-X2302w-Wireless-Router-ADSL-Modem/dp/B000A5 ...
Gruß Marcus
Hi!
erst einmal: too long; didn't read
Kann mich da nur anschließen, IPCOP oder für Linux Bewanderte eine Debian Firewall mit Shorewall, Squid, Snort und alternativ VPN (strongswan oder openvpn). Warum denn das Rad unbedingt neu erfinden?
Für ein kleines Büro würde ich keinen Cent für eine kommerzielle Lösung ausgeben, warum auch? Opensource stellt doch alles dafür erforderliche zur Verfügung...
erst einmal: too long; didn't read
Zitat von @Turner:
Was halten wir denn vom IPCOP ?
kostenlos - sicher - gut - alles dabei, was gebraucht wird....
Gruß
Turner
Was halten wir denn vom IPCOP ?
kostenlos - sicher - gut - alles dabei, was gebraucht wird....
Gruß
Turner
Kann mich da nur anschließen, IPCOP oder für Linux Bewanderte eine Debian Firewall mit Shorewall, Squid, Snort und alternativ VPN (strongswan oder openvpn). Warum denn das Rad unbedingt neu erfinden?
Für ein kleines Büro würde ich keinen Cent für eine kommerzielle Lösung ausgeben, warum auch? Opensource stellt doch alles dafür erforderliche zur Verfügung...
Hi,
Du vielleicht.
Aber worauf läuft das dann? Das kostet also immer noch nichts?
Und jetzt nicht irgend einen "gammel" Rechner nehmen. Reden wir hier von professioneller IT oder nicht?
Ein kommerzielles Produkt habe ich (wenn man geübt ist) vom Auspacken bis ready to go in 30 Minuten aufgesetzt. Weniger Strom wird das dann auch brauchen. Support habe ich dann auch gleich noch. Es gibt durchaus gute Gründe nicht alles selbst machen zu wollen.
Wenn er kein Geld ausgeben will, dann reicht doch sein Arcor Router vollkommen!
Gruß
Du vielleicht.
Aber worauf läuft das dann? Das kostet also immer noch nichts?
Und jetzt nicht irgend einen "gammel" Rechner nehmen. Reden wir hier von professioneller IT oder nicht?
Ein kommerzielles Produkt habe ich (wenn man geübt ist) vom Auspacken bis ready to go in 30 Minuten aufgesetzt. Weniger Strom wird das dann auch brauchen. Support habe ich dann auch gleich noch. Es gibt durchaus gute Gründe nicht alles selbst machen zu wollen.
Wenn er kein Geld ausgeben will, dann reicht doch sein Arcor Router vollkommen!
Gruß
@66027
Eben ! Sage ich doch ! Habe schon ein paar Cop´s für Unternehmen gebaut und die laufen, wie die alten VW Käfer!
No Spam - No Virus - No Trash !
muss man sich halt eben nur damit beschäftigen - aber man lernt eine Menge gute Sachen dazu - auch alles kostenlos ! - Deswegen habe ich mich schon über die zahlreichen Antworten hier gewundert.....
Einen ausgedienten Rechner und los geht´s ! (Kann natürlich auch ein neuer sein...)
Ob Debian professionelle IT ist oder nicht muss jeder selber entscheiden.
Viel Erfolg !
Eben ! Sage ich doch ! Habe schon ein paar Cop´s für Unternehmen gebaut und die laufen, wie die alten VW Käfer!
No Spam - No Virus - No Trash !
muss man sich halt eben nur damit beschäftigen - aber man lernt eine Menge gute Sachen dazu - auch alles kostenlos ! - Deswegen habe ich mich schon über die zahlreichen Antworten hier gewundert.....
Einen ausgedienten Rechner und los geht´s ! (Kann natürlich auch ein neuer sein...)
Ob Debian professionelle IT ist oder nicht muss jeder selber entscheiden.
Viel Erfolg !
Moin,
die frage muss einfach anders lauten. Hat jemand erfahrung (genug) mit Debian & Co?
Klar - wenn ich mich damit auskenne kann ich das auch selbst bauen. Aber sorry - dann brauche ich auch kein IPCop o.ä. -> dann nehme ich für die Firewall halt gleich iptables und bastel mein Regelscript schnell selbst. Dazu noch nen Squid/SquidGuard, schon ist der Proxy fertig (in einem kleinen Büro würde ich das auch auf derselben Maschine machen - egal ob es jetzt so vorgeschlagen ist oder nicht, 2-n Server sind einfach da meist Geldmässig nicht drin...). Nen IDS? Kein Thema - Snort drauf und gut. Wobei nen IDS auf ner Firewall nun wirklich keinen Sinn macht... - aber das machen selbst viele professionelle System imo. falsch...)...
Jetzt kommt aber das Aber: Wie hoch ist die Chance das in einem kleinen Büro jemand sich damit gut genug auskennt um eine *sichere* Firewall aufzubauen? Und wer soll das ding verwalten? Bei den fertigen Systemen zahlt man zwar mal eben nen paar Euro - hat dafür aber auch einen Support-Vertrag (d.h. wenn das ding ausfällt hab ich in 24h Ersatz...), jemanden den ich ansprechen kann (wen fragst du bei einem Debian-Problem wenn deine Kenntnisse nicht ausreichen um das Problem überhaupt exakt zu beschreiben?),... Ich habe keine Hardware-Probleme (fehlende Treiber usw.)...
Und jetzt möchte ich das ihr mal nachrechnet: Nehmen wir mal an ein kleines Büro braucht eine Firewall. Was ist jetzt günstiger: Für 2000 Euro eine professionelle Lösung kaufen (ink. 3 Jahre Support, Mail-Scanner mit Virenscan usw.) die notfalls der Sachbearbeiter noch mit dem Support-Menschen am Telefon bedienen kann - oder wenn der Sachbearbeiter sich erst in Linux einarbeitet, Firewall-Grundlagen lernt usw.? Im letzten Fall ist der Sachbearbeiter schonmal mindestens 8 Wochen nur für diese Aufgabe geblockt - um am Ende ein Ergebnis zu erzeugen bei dem die Sicherheit zweifelhaft ist...
Sorry - aber wer hier nur die Hardware-Kosten rechnet der vergißt den größten Teil der Kosten... Denn da mag Linux günstiger sein. Und ist zufällig einer der Sachbearbeiter privat nen Linux-Freak -> ok, dann auch. Aber wenn das alles 08/15-Sachbearbeiter sind die froh sind wenn die ohne Unfall Word starten können -> DIE sollen ne Firewall erstellen? Ähm - neeee... und da hilft auch kein Kostenloses IPCop was - da braucht man dann mindestens den Supportvertrag...
die frage muss einfach anders lauten. Hat jemand erfahrung (genug) mit Debian & Co?
Klar - wenn ich mich damit auskenne kann ich das auch selbst bauen. Aber sorry - dann brauche ich auch kein IPCop o.ä. -> dann nehme ich für die Firewall halt gleich iptables und bastel mein Regelscript schnell selbst. Dazu noch nen Squid/SquidGuard, schon ist der Proxy fertig (in einem kleinen Büro würde ich das auch auf derselben Maschine machen - egal ob es jetzt so vorgeschlagen ist oder nicht, 2-n Server sind einfach da meist Geldmässig nicht drin...). Nen IDS? Kein Thema - Snort drauf und gut. Wobei nen IDS auf ner Firewall nun wirklich keinen Sinn macht... - aber das machen selbst viele professionelle System imo. falsch...)...
Jetzt kommt aber das Aber: Wie hoch ist die Chance das in einem kleinen Büro jemand sich damit gut genug auskennt um eine *sichere* Firewall aufzubauen? Und wer soll das ding verwalten? Bei den fertigen Systemen zahlt man zwar mal eben nen paar Euro - hat dafür aber auch einen Support-Vertrag (d.h. wenn das ding ausfällt hab ich in 24h Ersatz...), jemanden den ich ansprechen kann (wen fragst du bei einem Debian-Problem wenn deine Kenntnisse nicht ausreichen um das Problem überhaupt exakt zu beschreiben?),... Ich habe keine Hardware-Probleme (fehlende Treiber usw.)...
Und jetzt möchte ich das ihr mal nachrechnet: Nehmen wir mal an ein kleines Büro braucht eine Firewall. Was ist jetzt günstiger: Für 2000 Euro eine professionelle Lösung kaufen (ink. 3 Jahre Support, Mail-Scanner mit Virenscan usw.) die notfalls der Sachbearbeiter noch mit dem Support-Menschen am Telefon bedienen kann - oder wenn der Sachbearbeiter sich erst in Linux einarbeitet, Firewall-Grundlagen lernt usw.? Im letzten Fall ist der Sachbearbeiter schonmal mindestens 8 Wochen nur für diese Aufgabe geblockt - um am Ende ein Ergebnis zu erzeugen bei dem die Sicherheit zweifelhaft ist...
Sorry - aber wer hier nur die Hardware-Kosten rechnet der vergißt den größten Teil der Kosten... Denn da mag Linux günstiger sein. Und ist zufällig einer der Sachbearbeiter privat nen Linux-Freak -> ok, dann auch. Aber wenn das alles 08/15-Sachbearbeiter sind die froh sind wenn die ohne Unfall Word starten können -> DIE sollen ne Firewall erstellen? Ähm - neeee... und da hilft auch kein Kostenloses IPCop was - da braucht man dann mindestens den Supportvertrag...
Genau meine Meinung!
Und wie Du schon sagst: ich bezweifel auch sehr stark, dass ein "normal" Anwender eine solche selbst gebastelte Lösung administrieren kann und das dann auch noch als sicher bezeichnet werden kann! Wenn jetzt auch noch keinerlei Erfahrung vorhanden ist, dann ist es schlicht unmöglich.
Gruß
Und wie Du schon sagst: ich bezweifel auch sehr stark, dass ein "normal" Anwender eine solche selbst gebastelte Lösung administrieren kann und das dann auch noch als sicher bezeichnet werden kann! Wenn jetzt auch noch keinerlei Erfahrung vorhanden ist, dann ist es schlicht unmöglich.
Gruß
Zitat von @carg:
Hi,
Du vielleicht.
Aber worauf läuft das dann? Das kostet also immer noch nichts?
Und jetzt nicht irgend einen "gammel" Rechner nehmen. Reden
wir hier von professioneller IT oder nicht?
Gruß
Hi,
Du vielleicht.
Aber worauf läuft das dann? Das kostet also immer noch nichts?
Und jetzt nicht irgend einen "gammel" Rechner nehmen. Reden
wir hier von professioneller IT oder nicht?
Gruß
Nein, das ist schon richtig, wir reden hier von professioneller IT, sagte ja auch nur, dass ich für solch eine Firewall-Lösung keinen Cent ausgeben würde (was Software, Lizenzen, Support u. ä. angeht), was aber nicht heißt, dass ich dafür keine kleine DELL PowerEdge Kiste mit RAID 1 für 400 € kaufen würde. Alternative wäre ein ThinClient für zirka 150 € der Sache angemessen.
Da es ja ein kleines Büro ist, gehe ich doch davon aus, dass man in der Zukunft mal zwei Standorte via VPN miteinander verbinden will bzw. es sich mal offen lässt, ob man das nicht doch möchte (z. B. wenn der Chef von zu Hause arbeitet oder von zu Hause darauf zugreifen möchte) u. ä.. So bräuchte ich die existierende kommerzielle Lösung gleich in doppelter Ausführung und in einem sollten wir uns alle einig sein: Die meisten sog. Security Appliances sind nichts anderes als ein gehärtetes Linux, bzw. ein Mini-Linux mit Squid und IPtables (sehe gerade, Netgear will 500 € für so einen Router... *Vogel zeig*).
Und ein 0815 Router der eigentlich für Privatanwender gedacht ist, gehört imho nicht in ein geschäftlich genutztes Büro. Wer sich z. B: dann doch für Zyxel oder - Gott bewahre - Telekom Router u. ä. entscheidet, dem ist dann echt nicht mehr geholfen. Willkommen im Router Botnetz!
Hi,
naja - wenn man schon 400 euro für den Rechner aus gibt, dann kann man auch 500 für ne Appliance ausgeben (ist jetzt meine Meinung).
Nimmt man z.b. ne kleine FG dann haste sehr viel Funktionalität mit zertifizierter Sicherheit (ob es das sicherer macht sei mal dahin gestellt!).
Denn zu den 400€ kommt ja noch die Arbeit der Ersteinrichtung und die laufende Wartung dazu, welche IMHO deutlich höher ist als bei einer Appliance. Die Strom kosten sind auch höher (wage ich mal zu behaupten).
Und falls man von zuhause arbeiten will ist das auch kein Problem - IPSec VPN können ja alle solcher Lösungen, einige auch SSL-VPN.
Ich möchte jedenfalls nicht 100 IPCOPs administrieren. Am besten noch von unterschiedlichen Leuten aufgesetzten, auf was weiß ich wie viel unterschiedlicher Hardware laufenden, mit soundsoviel zusätzlicher Software. Das ist von den Kosten her nicht zu vertreten. Kein Kunde wird bereit sein, das zu bezahlen.
Genau das ist der Vorteil von fertigen Lösungen. Eine Firewall Modell XX kann genau dieses und jenes und zwar immer! Egal wer die vorher betreut hat.
Aber ich glaube wir schweifen jetzt doch etwas weit vom Thema ab.
Gruß Patrick
ps: Deine Meinung dazu sei Dir ungenommen!
naja - wenn man schon 400 euro für den Rechner aus gibt, dann kann man auch 500 für ne Appliance ausgeben (ist jetzt meine Meinung).
Nimmt man z.b. ne kleine FG dann haste sehr viel Funktionalität mit zertifizierter Sicherheit (ob es das sicherer macht sei mal dahin gestellt!).
Denn zu den 400€ kommt ja noch die Arbeit der Ersteinrichtung und die laufende Wartung dazu, welche IMHO deutlich höher ist als bei einer Appliance. Die Strom kosten sind auch höher (wage ich mal zu behaupten).
Und falls man von zuhause arbeiten will ist das auch kein Problem - IPSec VPN können ja alle solcher Lösungen, einige auch SSL-VPN.
Ich möchte jedenfalls nicht 100 IPCOPs administrieren. Am besten noch von unterschiedlichen Leuten aufgesetzten, auf was weiß ich wie viel unterschiedlicher Hardware laufenden, mit soundsoviel zusätzlicher Software. Das ist von den Kosten her nicht zu vertreten. Kein Kunde wird bereit sein, das zu bezahlen.
Genau das ist der Vorteil von fertigen Lösungen. Eine Firewall Modell XX kann genau dieses und jenes und zwar immer! Egal wer die vorher betreut hat.
Aber ich glaube wir schweifen jetzt doch etwas weit vom Thema ab.
Gruß Patrick
ps: Deine Meinung dazu sei Dir ungenommen!
Da es ja ein kleines Büro ist, gehe ich doch davon aus, dass man
in der Zukunft mal zwei Standorte via VPN miteinander verbinden will
bzw. es sich mal offen lässt, ob man das nicht doch möchte
(z. B. wenn der Chef von zu Hause arbeitet oder von zu Hause darauf
zugreifen möchte) u. ä.. So bräuchte ich die
existierende kommerzielle Lösung gleich in doppelter
Ausführung und in einem sollten wir uns alle einig sein:
in der Zukunft mal zwei Standorte via VPN miteinander verbinden will
bzw. es sich mal offen lässt, ob man das nicht doch möchte
(z. B. wenn der Chef von zu Hause arbeitet oder von zu Hause darauf
zugreifen möchte) u. ä.. So bräuchte ich die
existierende kommerzielle Lösung gleich in doppelter
Ausführung und in einem sollten wir uns alle einig sein:
Moin,
zum einen: Warum glaubst du das ein kleines Büro unbedingt später per VPN andere Standorte ankoppeln möchte?
Weiterhin: Nur für eine Remote-Einwahl brauche ich noch lange keine 2te identische Hardware -> bei der Astaro is es überhaupt kein Problem sich mit dem Windows VPN-Client anzumelden... Für Heimarbeit ist das vollkommen ausreichend (und ich vermute mal das geht auch bei andern Systemen).
Wie gesagt - du darfst auch nicht vergessen wer da sitzt... Und ohne tieferes Wissen über Linux ist JEDE Firewall die ein Anfänger da aufbaut sicherlich schlechter als nen Telekom-Router in der Standard-Konfig mit dem PW 1234...
Ich kann gerade in kleinen Netzen (3 Clients, 1 Server, kein eigener Admin) nur von Microsoft ISA-Server oder eben Linux-Software-Firewalls abraten.
Das macht zuviel Administrationsaufwand.
(Es hat ja auch einen Grund warum der ISA-Server beim SBS 2008 nicht mehr dabei ist)
Gute Erfahrungen habe ich mit den Zyxel ZyWalls gemacht.
Die ZyWall 2 Plus dürfte genau richtig sein.
Grüße, FFK
Das macht zuviel Administrationsaufwand.
(Es hat ja auch einen Grund warum der ISA-Server beim SBS 2008 nicht mehr dabei ist)
Gute Erfahrungen habe ich mit den Zyxel ZyWalls gemacht.
Die ZyWall 2 Plus dürfte genau richtig sein.
Grüße, FFK
Hallo Kollegen, hallo Sacha,
ich muss nochmal meinen Senf dazugeben
Es geht um ein Steuerbüro, d.h. personalisierte Daten, Steuerdaten, Firmendaten, Lohndaten, ....
Also keine spielerei mehr, es geht nicht um 1 oder 100 Clientrechner klein oder gross, sondern um ein Steuerbüro - und punkt.
Da geht es nicht mehr um einen preiswerten Router oder einen billigen AntiVirus - es geht um Sicherheit für den Steuerberater und seine Mandantendaten! Demzufolge bleibt nur noch eine professionelle Lösung, wenn er das nich haben möchte, sollte er es tunlichst vermeiden, das gegenüber seinen Mandanten public zu machen.
Dasselbe gilt genauso z.B. für Ärzte und Rechtsanwälte, die auch immer das billigste - nein preiswerteste haben wollen.
Und Kollegen, nicht zu vergessen, ihr seit mit in der Haftung, wenn was passiert.
Bis online
Bernd Klee
ich muss nochmal meinen Senf dazugeben
Es geht um ein Steuerbüro, d.h. personalisierte Daten, Steuerdaten, Firmendaten, Lohndaten, ....
Also keine spielerei mehr, es geht nicht um 1 oder 100 Clientrechner klein oder gross, sondern um ein Steuerbüro - und punkt.
Da geht es nicht mehr um einen preiswerten Router oder einen billigen AntiVirus - es geht um Sicherheit für den Steuerberater und seine Mandantendaten! Demzufolge bleibt nur noch eine professionelle Lösung, wenn er das nich haben möchte, sollte er es tunlichst vermeiden, das gegenüber seinen Mandanten public zu machen.
Dasselbe gilt genauso z.B. für Ärzte und Rechtsanwälte, die auch immer das billigste - nein preiswerteste haben wollen.
Und Kollegen, nicht zu vergessen, ihr seit mit in der Haftung, wenn was passiert.
Bis online
Bernd Klee
@itdienstleister
Dann hast du dir vermutlich nichtmal die geringe Mühe gemacht mal eine ISO Live CD gebrannt und
IPCOP
http://www.ipcop-forum.de/
M0n0wall:
http://m0n0.ch/wall/
Endian Firewall:
http://www.endian.com/de/community/overview/
gebootet um dir mal deren Konfig anzusehen, was traurig ist für einen IT Dienstleister....
Dann hättest du nämlich gesehen das diese sich über eine Weboberfläche mit ein paar Mausklicks wie deine Zywall konfigurieren lässt. Von zusätzlichen Features einmal ganz abgesehen !!
Und was dachtest du denn wohl was für ein Betriebssystem auf der Zywall rennt...?? Winblows bestimmt nicht !
Dann hast du dir vermutlich nichtmal die geringe Mühe gemacht mal eine ISO Live CD gebrannt und
IPCOP
http://www.ipcop-forum.de/
M0n0wall:
http://m0n0.ch/wall/
Endian Firewall:
http://www.endian.com/de/community/overview/
gebootet um dir mal deren Konfig anzusehen, was traurig ist für einen IT Dienstleister....
Dann hättest du nämlich gesehen das diese sich über eine Weboberfläche mit ein paar Mausklicks wie deine Zywall konfigurieren lässt. Von zusätzlichen Features einmal ganz abgesehen !!
Und was dachtest du denn wohl was für ein Betriebssystem auf der Zywall rennt...?? Winblows bestimmt nicht !
...leider muss ich immer wieder feststellen, dass solche Diskussionen schnell die Sachlichkeit verlieren. Das ist traurig.
@aqui
Ich gebe Dir Recht. Letzendlich ist die Administration gegenüber anderen Produkten ein Witz. Es muss sich keiner
8 Wochen damit beschäftigen, sondern das Aufsetzen der Maschine - ohne Zusatztools - ist in einer knappen halben Stunde erledigt....und die "Wartung und der Support hält sich übers Jahr gesehen in Grenzen...aber egal, es
war nur ein Vorschlag von mir, dem Fragesteller zu helfen, um ein System mit einem gutem Preis/Leistungsverhältnis vorzuschlagen. Auch in der einschlägigen Fachpresse hat diese Lösung keine schlechte Bewertung bekommen. Man sollte ruhig auch mal über den Tellerrand schauen.
Für meinen Teil kann ich nur aus der Praxiserfahrung bei meinen zufriedenen Kunden (u.a. Steuer)sprechen und
verabschiede mich...
.
@aqui
Ich gebe Dir Recht. Letzendlich ist die Administration gegenüber anderen Produkten ein Witz. Es muss sich keiner
8 Wochen damit beschäftigen, sondern das Aufsetzen der Maschine - ohne Zusatztools - ist in einer knappen halben Stunde erledigt....und die "Wartung und der Support hält sich übers Jahr gesehen in Grenzen...aber egal, es
war nur ein Vorschlag von mir, dem Fragesteller zu helfen, um ein System mit einem gutem Preis/Leistungsverhältnis vorzuschlagen. Auch in der einschlägigen Fachpresse hat diese Lösung keine schlechte Bewertung bekommen. Man sollte ruhig auch mal über den Tellerrand schauen.
Für meinen Teil kann ich nur aus der Praxiserfahrung bei meinen zufriedenen Kunden (u.a. Steuer)sprechen und
verabschiede mich...
.
Zitat von @Turner:
...leider muss ich immer wieder feststellen, dass solche Diskussionen
schnell die Sachlichkeit verlieren. Das ist traurig.
...leider muss ich immer wieder feststellen, dass solche Diskussionen
schnell die Sachlichkeit verlieren. Das ist traurig.
Da muß ich zustimmen.
@aqui
Dein Unterton ist leider wirklich nicht mehr sachlich.
Wie sicherlich zu erkennen ist, wollte ich mit meinem Beitrag keine Diskussion ob Windows (das Du mit "Winblows" schlecht machst) oder Linux lostreten.
Ich habe sowohl von der Windows-Software-Firewall (ISA-Server) als auch von Linux-Software-Firewalls abgeraten.
Ich bleibe bei meiner Meinung: Der Administrationsaufwand dafür ist größer als für eine Zyxel Zywall.
Außerdem benötigt man auch gleich einen zusätzlichen Rechner der rund um die Uhr laufen muß ... (GreenIT und so).
Der Kostendruck von Seiten der Kunden trifft uns alle.
Es geht selten darum, welches "DIE BESTE!!" Lösung ist, sondern welche die adäquate Lösung ist.
Und für ein Netzwerk mit 3 Clients und einem Server ist ein eigener Rechner für die Firewall meiner Meinung nach übertrieben.
Hochachtungsvoll, FFK
Es ging auch keineswegs um die Hardware Platform oder Steuersoftware. Auch da hast du Unrecht wenn du meinst man müsse das auf einer Intel Platform (Mainbord, kompletter Rechner) aufbauen.
M0n0wall und IPcop laufen auch auf kleinen Appliances die erheblich weniger Energie verbrauchen !
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Sorry wenn das bei dir unsachlich angekommen ist das sollte nicht die Intention gewesen sein...
Es ging lediglich darum dein KO Argument von oben etwas zu relativieren, das der Admin Aufwand zu hoch ist bei Linux (Bei Win"d"ows ist das aber sicherlich berechtigt...keine Frage !) denn um bei der geforderten Sachlichkeit zu bleiben hätte man das fairerweise relativieren müssen.
Das auf der Zywall, die keineswegs schlecht ist, ebenfalls ein gehärtetes Linux rennt ist dir vermutlich auch bekannt.
Somit hättest du dann deinem eigenen Argument widersprochen....
Soviel zum Thema Sachlichkeit !!
Für ein Netzwerk mit 3 Clients ist jegliche Firewall sowieso übertrieben. Das kommt mit jeder NAT Firewall auf jedem beliebigen Consumer Router aus. Oder aus Kostensicht dann mit der o.a. M0n0wall Appliance was du ja richtigerweise auch als adäquat bezeichnest !
Sachlich betrachtet ist die Diskussion über eine zusätzliche FW bei solchen Rahmenbedingungen eher obsolet.
M0n0wall und IPcop laufen auch auf kleinen Appliances die erheblich weniger Energie verbrauchen !
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Sorry wenn das bei dir unsachlich angekommen ist das sollte nicht die Intention gewesen sein...
Es ging lediglich darum dein KO Argument von oben etwas zu relativieren, das der Admin Aufwand zu hoch ist bei Linux (Bei Win"d"ows ist das aber sicherlich berechtigt...keine Frage !) denn um bei der geforderten Sachlichkeit zu bleiben hätte man das fairerweise relativieren müssen.
Das auf der Zywall, die keineswegs schlecht ist, ebenfalls ein gehärtetes Linux rennt ist dir vermutlich auch bekannt.
Somit hättest du dann deinem eigenen Argument widersprochen....
Soviel zum Thema Sachlichkeit !!
Für ein Netzwerk mit 3 Clients ist jegliche Firewall sowieso übertrieben. Das kommt mit jeder NAT Firewall auf jedem beliebigen Consumer Router aus. Oder aus Kostensicht dann mit der o.a. M0n0wall Appliance was du ja richtigerweise auch als adäquat bezeichnest !
Sachlich betrachtet ist die Diskussion über eine zusätzliche FW bei solchen Rahmenbedingungen eher obsolet.