Raspberry Pi 3B+ als Firewall für Port-Forwarding
Hallo Zusammen,
ich habe eine etwas ungewöhnliche Konstellation für den Internetzugang.
Einen Speedport Telekom Hybrid der Hybrid sowohl als Turbo als auch asl Ausfallbackup dient - funktioniert acuh, neulich hat ein Bagger ein Telekom-Kabel "gefunden" uund ich war der einzige in der ganzrn Straße mit Telefon und Internet - wir haben gar nix bemerkt.
Gut, an diesem Router habe ich (fast) alle Ports weitergeleitet. Ansonsten ist nix eingerichtet. Kein DECT, kein WLAN, nix. Nur ein DynDNS-Dienst ist angemeldet.
Der einzige Client im Netz ist meine FritzBox 7950. Es funktioniert alles, VPN, Telefonie, Fax, Portweiterleitung, Fernzugriff aus dem Internet - einfach alles, wie vorher beim DSL-Anschluss auch.
Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".
Ich rufe also zuhause.meine-dyndns.de:1234/cam/multiview.html auf und komme direkt auf eine Seite, auf welcher alle 4 Cams angezeigt werden.
Mein Problem ist nun, dass die Cams zwar so montiert sind, dass eigentlich nicht zufällig Personen gefilmt werden, aber trotzdem, ich habe ein schlechtes Gefühl einen Live-Stream ins Internet zu übertragen. Klar, ich könnte eine Anmeldung in die Webseite einbauen, aber das will ich nicht. Meine Kids sind da auch noch nicht alt genug. Ich würde das Port-Forwarding gerne über einen Raspi laufen lassen, den mit bekannten MAC-Adressen in eine Whitelist füttern und die dürfen zugreifen - andere bekommen eine Fehlerseite angezeigt. Ich versuche es mal grafisch darzustellen:
Der zu verwendente Raspi soll im Netz sein (also meine externe Firewall ist die Fritzbox. Auf dem Raspberry läuft auch ein DNS-Server mit pi-hole.net, falles es jemanden interessiert. ICh will also nicht noch eine klassische Firewall mit verschiedenen Netzen, ich will nur ein kleines Rechnerchen, das überprüft, wer von außen auf die Webcam zugreift und ob er das darf. Wenn ja, dann weiterleiten zum HTTP-Server, wenn nein, dann möglichst eine Fehlerseite anzeigen.
Nun meine ich mich aber zu erinnern, dass eine Webseite keine MAC-Adressen lesen kann. Deswegen kann ich die Zugansberechtigung nicht auf dem Webserver machen. Aber kann denn der PI als FW die MAC-ADresse lesen und entsprechend auswerten so dass die eigenen Geräte auf der Whitelist durchdürfen und alles anderen werden geblockt.
Gibt es da eine installierbare Firewall, oder geht es mit Boardmitteln oder gar nicht?
Ich freue mich auf Eure Antworten
Der Schotte im Rock
ich habe eine etwas ungewöhnliche Konstellation für den Internetzugang.
Einen Speedport Telekom Hybrid der Hybrid sowohl als Turbo als auch asl Ausfallbackup dient - funktioniert acuh, neulich hat ein Bagger ein Telekom-Kabel "gefunden" uund ich war der einzige in der ganzrn Straße mit Telefon und Internet - wir haben gar nix bemerkt.
Gut, an diesem Router habe ich (fast) alle Ports weitergeleitet. Ansonsten ist nix eingerichtet. Kein DECT, kein WLAN, nix. Nur ein DynDNS-Dienst ist angemeldet.
Der einzige Client im Netz ist meine FritzBox 7950. Es funktioniert alles, VPN, Telefonie, Fax, Portweiterleitung, Fernzugriff aus dem Internet - einfach alles, wie vorher beim DSL-Anschluss auch.
Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".
Ich rufe also zuhause.meine-dyndns.de:1234/cam/multiview.html auf und komme direkt auf eine Seite, auf welcher alle 4 Cams angezeigt werden.
Mein Problem ist nun, dass die Cams zwar so montiert sind, dass eigentlich nicht zufällig Personen gefilmt werden, aber trotzdem, ich habe ein schlechtes Gefühl einen Live-Stream ins Internet zu übertragen. Klar, ich könnte eine Anmeldung in die Webseite einbauen, aber das will ich nicht. Meine Kids sind da auch noch nicht alt genug. Ich würde das Port-Forwarding gerne über einen Raspi laufen lassen, den mit bekannten MAC-Adressen in eine Whitelist füttern und die dürfen zugreifen - andere bekommen eine Fehlerseite angezeigt. Ich versuche es mal grafisch darzustellen:
Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server
geht alles durch blockt alles
außer
Port 1234 2234 1234
Port 1235 2235 1235
Port 1236 2236 1236
Port 1237 2237 1237
Der zu verwendente Raspi soll im Netz sein (also meine externe Firewall ist die Fritzbox. Auf dem Raspberry läuft auch ein DNS-Server mit pi-hole.net, falles es jemanden interessiert. ICh will also nicht noch eine klassische Firewall mit verschiedenen Netzen, ich will nur ein kleines Rechnerchen, das überprüft, wer von außen auf die Webcam zugreift und ob er das darf. Wenn ja, dann weiterleiten zum HTTP-Server, wenn nein, dann möglichst eine Fehlerseite anzeigen.
Nun meine ich mich aber zu erinnern, dass eine Webseite keine MAC-Adressen lesen kann. Deswegen kann ich die Zugansberechtigung nicht auf dem Webserver machen. Aber kann denn der PI als FW die MAC-ADresse lesen und entsprechend auswerten so dass die eigenen Geräte auf der Whitelist durchdürfen und alles anderen werden geblockt.
Gibt es da eine installierbare Firewall, oder geht es mit Boardmitteln oder gar nicht?
Ich freue mich auf Eure Antworten
Der Schotte im Rock
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 457481
Url: https://administrator.de/contentid/457481
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
10 Kommentare
Neuester Kommentar
Mit MAC-Adressen geht es gar nicht, da diese immer nur im gleichen Netzwerksegment sichtbar sind. Sprich die MAC-Adresse der Geräte auf der LAN-Seite deiner Fritzbox können vom Speedport schon nicht mehr gesehen werden. Die MAC-Adressen werden zwar von mehreren Technologien genutzt, also das was man heute LAN und WLAN nennt, Token Ring hat die in abgewandelter Form verwendet, aber z.B. auf einer ATM-basierten Strecke, die heute zum Teil noch im Rückgrat des Internets zu finden sind, haben MAC-Adressen keinerlei Zweck. Die Technik kennt die einfach nicht.
MAC-Adressen sind auch sehr leicht fälschbar. Mit Betriebssystem-Bordmitteln und in Sekunden.
Zusammengefasst: Was der Pi nicht bekommt, kann er nicht auswerten.
MAC-Adressen sind auch sehr leicht fälschbar. Mit Betriebssystem-Bordmitteln und in Sekunden.
Zusammengefasst: Was der Pi nicht bekommt, kann er nicht auswerten.
Hallo,
Du möchtest also eine bedingte Portweiterleitung.
Eine Portweiterleitung besteht ja nur aus Remote IP, Port, Destination IP und Port.
Du könntest Dich aber eines Tricks bedienen.
Man ruft vorher eine bestimmte URL im Browser auf.
Dabei wird die aktuelle Remote IP in der Firewall (iptable) gewhitelistet und nach 24 entfernt.
Ist nicht perfect, aber ein Ansatz.
Stefan
Du möchtest also eine bedingte Portweiterleitung.
Eine Portweiterleitung besteht ja nur aus Remote IP, Port, Destination IP und Port.
Du könntest Dich aber eines Tricks bedienen.
Man ruft vorher eine bestimmte URL im Browser auf.
Dabei wird die aktuelle Remote IP in der Firewall (iptable) gewhitelistet und nach 24 entfernt.
Ist nicht perfect, aber ein Ansatz.
Stefan
Zitat von @Schottenrock:
Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server
Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server
Hallo Rocker,
Warum machst Du so einen Blödsinn?
Sinnvoller und besser wäre es entweder auf der Fritte oder auf der Himbeere ein VPN zu machen und darüber auf Deine Kameras zuzugreifen. Die Fritzbox hat schon alles an Bord und auch viele Anleitungen dazu.
Oder Du nimmst den raspberry. da gibt es genug Anleitungen vom Kollegen aqui hier im Forum:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik oder DD-WRT Router
Netzwerk Management Server mit Raspberry Pi
lks
Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".
Sicher nicht nur du sondern auch der Rest der ganzen Welt:https://www.insecam.org/en/bycountry/DE/
Ziemlich blauäugig solche Kameradaten per ungeschütztem Port Forwarding der ganzen Welt zugänglich zu machen. Deinen Privatsphäre scheint dir ja wahrlich nix wert zu sein. Zumal man einen Hardware (FritzBox) hat die sicheren VPN Zugang erlaubt. Port Forwarding ist laienhafte Anfänger Bastelei und exponiert die Daten ungeschützt. Aber egal... muss ja jeder selber wissen.
Kollege LKS hat ja oben schon alles zu dem Thema gesagt !!
Gegenfrage:
Wie hast du es überhaupt geschafft, Fernzugriffe zu realisieren?
Mir hat die Telekomhotline erklärt, Fernzugriffe über die mobile (LTE)-Verbindung des Speedport-Hybrid seien nicht möglich, weil sie nicht vorgesehen sind.
Jetzt habe ich zwar schnelles Internet (ca. 20k, statt 1,8k dsl) aber kann mich aber nicht mehr via Remotedesktop auf meine PCs zuhause verbinden
Wie hast du es überhaupt geschafft, Fernzugriffe zu realisieren?
Mir hat die Telekomhotline erklärt, Fernzugriffe über die mobile (LTE)-Verbindung des Speedport-Hybrid seien nicht möglich, weil sie nicht vorgesehen sind.
Jetzt habe ich zwar schnelles Internet (ca. 20k, statt 1,8k dsl) aber kann mich aber nicht mehr via Remotedesktop auf meine PCs zuhause verbinden
Ch habe jetzt auch keine Lust RFC1918 nachzulesen.
Simples Klicken reicht !!https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Was meinst Du denn mit der Abkürzung TO?
TO = Thread OwnerSorry, aber wenn es an solcherlei Banalitäten schon scheitert bei dir muss man sich doch wohl ernsthafte Sorgen um deine Privatsphäre machen. Blaue Augen hin oder her....
Mit dem VPN bist du aber schon mal auf dem richtigen Weg !