Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Raspberry Pi 3B+ als Firewall für Port-Forwarding

Mitglied: Schottenrock

Schottenrock (Level 1) - Jetzt verbinden

31.05.2019 um 22:59 Uhr, 4646 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich habe eine etwas ungewöhnliche Konstellation für den Internetzugang.

Einen Speedport Telekom Hybrid der Hybrid sowohl als Turbo als auch asl Ausfallbackup dient - funktioniert acuh, neulich hat ein Bagger ein Telekom-Kabel "gefunden" uund ich war der einzige in der ganzrn Straße mit Telefon und Internet - wir haben gar nix bemerkt.

Gut, an diesem Router habe ich (fast) alle Ports weitergeleitet. Ansonsten ist nix eingerichtet. Kein DECT, kein WLAN, nix. Nur ein DynDNS-Dienst ist angemeldet.
Der einzige Client im Netz ist meine FritzBox 7950. Es funktioniert alles, VPN, Telefonie, Fax, Portweiterleitung, Fernzugriff aus dem Internet - einfach alles, wie vorher beim DSL-Anschluss auch.

Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".

Ich rufe also zuhause.meine-dyndns.de:1234/cam/multiview.html auf und komme direkt auf eine Seite, auf welcher alle 4 Cams angezeigt werden.

Mein Problem ist nun, dass die Cams zwar so montiert sind, dass eigentlich nicht zufällig Personen gefilmt werden, aber trotzdem, ich habe ein schlechtes Gefühl einen Live-Stream ins Internet zu übertragen. Klar, ich könnte eine Anmeldung in die Webseite einbauen, aber das will ich nicht. Meine Kids sind da auch noch nicht alt genug. Ich würde das Port-Forwarding gerne über einen Raspi laufen lassen, den mit bekannten MAC-Adressen in eine Whitelist füttern und die dürfen zugreifen - andere bekommen eine Fehlerseite angezeigt. Ich versuche es mal grafisch darzustellen:

01.
Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server
02.
            geht alles durch    blockt alles
03.
                                außer
04.
                                Port 1234        2234              1234
05.
                                Port 1235        2235              1235
06.
                                Port 1236        2236              1236
07.
                                Port 1237        2237              1237
Der zu verwendente Raspi soll im Netz sein (also meine externe Firewall ist die Fritzbox. Auf dem Raspberry läuft auch ein DNS-Server mit pi-hole.net, falles es jemanden interessiert. ICh will also nicht noch eine klassische Firewall mit verschiedenen Netzen, ich will nur ein kleines Rechnerchen, das überprüft, wer von außen auf die Webcam zugreift und ob er das darf. Wenn ja, dann weiterleiten zum HTTP-Server, wenn nein, dann möglichst eine Fehlerseite anzeigen.

Nun meine ich mich aber zu erinnern, dass eine Webseite keine MAC-Adressen lesen kann. Deswegen kann ich die Zugansberechtigung nicht auf dem Webserver machen. Aber kann denn der PI als FW die MAC-ADresse lesen und entsprechend auswerten so dass die eigenen Geräte auf der Whitelist durchdürfen und alles anderen werden geblockt.

Gibt es da eine installierbare Firewall, oder geht es mit Boardmitteln oder gar nicht?

Ich freue mich auf Eure Antworten

Der Schotte im Rock
Mitglied: tikayevent
31.05.2019 um 23:33 Uhr
Mit MAC-Adressen geht es gar nicht, da diese immer nur im gleichen Netzwerksegment sichtbar sind. Sprich die MAC-Adresse der Geräte auf der LAN-Seite deiner Fritzbox können vom Speedport schon nicht mehr gesehen werden. Die MAC-Adressen werden zwar von mehreren Technologien genutzt, also das was man heute LAN und WLAN nennt, Token Ring hat die in abgewandelter Form verwendet, aber z.B. auf einer ATM-basierten Strecke, die heute zum Teil noch im Rückgrat des Internets zu finden sind, haben MAC-Adressen keinerlei Zweck. Die Technik kennt die einfach nicht.

MAC-Adressen sind auch sehr leicht fälschbar. Mit Betriebssystem-Bordmitteln und in Sekunden.

Zusammengefasst: Was der Pi nicht bekommt, kann er nicht auswerten.
Bitte warten ..
Mitglied: StefanKittel
01.06.2019 um 00:05 Uhr
Hallo,

Du möchtest also eine bedingte Portweiterleitung.
Eine Portweiterleitung besteht ja nur aus Remote IP, Port, Destination IP und Port.

Du könntest Dich aber eines Tricks bedienen.
Man ruft vorher eine bestimmte URL im Browser auf.
Dabei wird die aktuelle Remote IP in der Firewall (iptable) gewhitelistet und nach 24 entfernt.

Ist nicht perfect, aber ein Ansatz.

Stefan
Bitte warten ..
Mitglied: St-Andreas
01.06.2019 um 00:19 Uhr
Was spricht gegen ein ordentliches VPN?
Bitte warten ..
Mitglied: Lochkartenstanzer
01.06.2019, aktualisiert um 11:08 Uhr
Zitat von Schottenrock:

Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server

Hallo Rocker,

Warum machst Du so einen Blödsinn?

Sinnvoller und besser wäre es entweder auf der Fritte oder auf der Himbeere ein VPN zu machen und darüber auf Deine Kameras zuzugreifen. Die Fritzbox hat schon alles an Bord und auch viele Anleitungen dazu.

Oder Du nimmst den raspberry. da gibt es genug Anleitungen vom Kollegen aqui hier im Forum:

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

VPNs einrichten mit PPTP

OpenVPN Server installieren auf pfSense Firewall, Mikrotik oder DD-WRT Router

Netzwerk Management Server mit Raspberry Pi

lks
Bitte warten ..
Mitglied: aqui
01.06.2019, aktualisiert um 13:13 Uhr
Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".
Sicher nicht nur du sondern auch der Rest der ganzen Welt:
https://www.insecam.org/en/bycountry/DE/
Ziemlich blauäugig solche Kameradaten per ungeschütztem Port Forwarding der ganzen Welt zugänglich zu machen. Deinen Privatsphäre scheint dir ja wahrlich nix wert zu sein. Zumal man einen Hardware (FritzBox) hat die sicheren VPN Zugang erlaubt. Port Forwarding ist laienhafte Anfänger Bastelei und exponiert die Daten ungeschützt. Aber egal... muss ja jeder selber wissen.
Kollege LKS hat ja oben schon alles zu dem Thema gesagt !!
Bitte warten ..
Mitglied: norbertwangerin
02.06.2019 um 20:01 Uhr
Gegenfrage:

Wie hast du es überhaupt geschafft, Fernzugriffe zu realisieren?

Mir hat die Telekomhotline erklärt, Fernzugriffe über die mobile (LTE)-Verbindung des Speedport-Hybrid seien nicht möglich, weil sie nicht vorgesehen sind.


Jetzt habe ich zwar schnelles Internet (ca. 20k, statt 1,8k dsl) aber kann mich aber nicht mehr via Remotedesktop auf meine PCs zuhause verbinden
Bitte warten ..
Mitglied: aqui
03.06.2019, aktualisiert um 09:05 Uhr
Wenn der LTE Anschluss des TO öffentliche IPs nutzt dann klappt das.
Mit RFC 1918 IPs und CGN auf Providerseite ist es technisch unmöglich und kann er dann auch nicht geschafft haben.
Bitte warten ..
Mitglied: Schottenrock
03.06.2019 um 23:17 Uhr
Ein Überraschungsurlaub zum Vatertag. Wie schön. Aber warum dann gleich mitten ins Funkloch? Sorry, wenn ich ein paar Tage off war. Nun ja, was soll ich sagen, es ist wie eine Kur. Mal ohne Internet & Co. lebt es sich nämlich auch ganz entspannt...

Nun aber erst mal herzlichen Dank an alle, die Beiträge geleistet haben. Ich möchte der Reihe nach Stellung beziehen:

@tikayevent: leider bestätigst Du, was ich mir schon gedacht habe...

@StefanKittel: klingt erst mal interessant, aber im Prinzip kommt'S auf dasselbe raus. Wer die Seite mit der Whitelistung kennt, kann sich whitelisten lassen. Gut, wenn es dann keine automatische WEiterleitung gibt sondern man die URL manuell eingeben muss, dann habe ich eine doppelte Hürde.

@St-Andreas: meine Kinder sprechen gegen ein ordentliches VPN. Die Jugend heute hat doch keine Ahnung was für mächtige Geräte die in der Hosentasche haben. Rechenpower von der mein C64 oder 486er nicht mal geträumt hat Nee, will sagen, die blicken noch nicht was sie da tun und wann verbinden und wann nicht. Gut könnte auch Autostart machen. Kommt wahrscheinlich auch so. Dann geht halt der gesamte Datenverkehr hier über meinen Router... Bevor der nächste Vorschlag kommt: nein, wenn VPN, dann komplett und nicht nur den bestimmten IP-Bereich. Denn auf Auslandsreisen kann man dann über Amazon Prime & Co. wie in Deutschland fernsehen/streamen. Oder auch Amazon Music. Und wir sind eigentlich regelmäßig im Ausland.

@Lochkartenstanzer: Danke für Deine "einfühlsam" (Blödsinn zunm Ausdruck gebrachte Sorge. Passt schon alles. ISt gerade nur ein VErsuch u schnell was auf die BEine zus tellen und ich will eben nicht wild auf verschiedneen Endgeräten einfach mal unkoordiniert VPN's anlegen. Natürlich kenne ich mein Frittchen gut. Ich habe auch von meinen Geräten aus VPN-Zugang. Das passt schon alles. Aber wir oben schon gesagt, das sollte die letzte Wahl sein, weil ich bei den Kids das eigentlich eher nicht möchte. DAher suchte ich zunächst nach einer FW-Lösung. Frei nach dem Motto: man wird doch wohl mal fragen dürfen.

@aqui: ebenso einfühlsam wie LKS. Nee, sit schon ok, einem das erst mal unter die Nase zu halten. Könnte ja sein, ich habe wirklich keinen Plan und weiß nicht, was ich da tue. Aber dem ist nicht so. Zudem habe ich gar keine blauen Augen. Aber da mir meine Privatsphäre was wert ist, sage ich Dir nicht, dass sie nicht blau sind

@norbertwangerin: Das war ehrlich gesagt, ne schwierige Geburt. Habe mich Nächtelang das Telekom-Forum hoch und runtergelesen. ICh gebe Dir mal 4 Links, die ich mir gespeichert hatte. Vor Allem die Internetseite von Alauny ist sehr hilfreich, vor Allem beim Portforwarding. Denn auf dem Speedport kann man nicht einfach alle Ports an das Frittchen weiterleiten und man kann immer nur bestimmte Blöcke weiterleiten. Da hat wohl einer lange gebastelt, bis der Router das geschluckt hat. Aber es funktioniert. Ansonsten ist schlicht und einfach alles aus. Kein WLAN, keine Telefonie, kein DECT, kein NAS, kein WLAN to Go.Nur DSL, LTE, DynDNS und Port-Forwading. Vor Allem keine Einschränkungen, welche orts NICHT über LTE laufen sollen. Dort gar nix blocken und einfach alles zulassen, entgegen jedem Hinweis in irgendwinem Forum. Und die Telekomiker von der Hotline, die sind so unwissend, dass es nicht mal mehr komisch ist. Vergiss die Hotline einfach. Das Telekomhilft Forum ist ganz ok.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/myfritz-VPN-Fritzb ...
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Fritzbox-hinter-de ...
https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Fritzbox-7590-hinter ...
https://lubensky.de/hybrid/
VPN nur über LTE habe ich noch nicht aktiv ausprobiert. Muss ich gelegentlich nachholen. Aber Telefonie und Fernsehen (MagentaTV) funktionieren ohne Probleme - auch bei DSL-Ausfall. Ach ja, ich habe in meiner "DMZ", an dem Speedort einen DNS-Server Pihole mit Werbefilter am laufen. Der fragt dann direkt meinen bevorzugten DNS-Server im Internet, fungiert als DNS-Chace im eigenen Netz und umgeht dabei gleichzeit die manchmal recht langsamen DNS-Server der Telekom. Läuft problemlos auf nem Raspi. Am Speedport Hybrid kann man die Telekom-Server nämlich nicht umgehen. In einer manuellen Konfiguration lässt sich zwar ein alternativer IPV4 DNS eintragen, aber die IPV6 DNS bleiben weiterhin unverrückbar Telekom-Server. Im Rankiung im Router stehen dann 2x IPV6 auf Platz 1 und 2, Platz 3 und 4 bekommen dann meine eigens eingetragenen IPV4 Server und auf 5 ud 6 stehen dann wieder Telekom-IPV6-Sever. Mit dem Raspi als DNS im eigenen Netz geht's aber wirklich verdsmmt flott.

@aqui: zu Deinem letzten Post muss ich leider sagen: das übersteigt meinen Horizont. ICh habe jetzt auch keine Lust RFC1918 nachzulesen. Was meinst Du denn mit der Abkürzung TO?

Anyhow, mein Fazit aus Euren Beiträgen wird sein, dass ich den Kindern ein VPN aus Handy klatschen muss. Hat nebenbei den Vorteil, dass dann der gesamte Datenverkehr auch über meinen DNS Server daheim läuft und auch so unterwegs die Werbung gefiltert wird.

In diesem Sinne nochmal herzlichen Dank an alle für die Vorschläge und Beiträge.

Der Schotte im Rock
Bitte warten ..
Mitglied: aqui
04.06.2019 um 12:51 Uhr
Ch habe jetzt auch keine Lust RFC1918 nachzulesen.
Simples Klicken reicht !!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Was meinst Du denn mit der Abkürzung TO?
TO = Thread Owner
Sorry, aber wenn es an solcherlei Banalitäten schon scheitert bei dir muss man sich doch wohl ernsthafte Sorgen um deine Privatsphäre machen. Blaue Augen hin oder her....
Mit dem VPN bist du aber schon mal auf dem richtigen Weg !
Bitte warten ..
Mitglied: Schottenrock
04.06.2019 um 13:06 Uhr
Ehrlich gesagt, lieber aqui, finde ich die Art und Weise, wie Du mit Dir fremden Menschen sprichst unangebracht. Ich möchte Dich daher bitten zu diesem Thema keine weiteren Beiträge zu schreiben. Ich glaube, ich mehr aufm Kasten als Du denkst und fühle mich mich durch Deine Art und Weise nicht wirklich ernst genommen. Ich habe doch geschrieben, dass ich VPN Zugriff habe und warum ich erst mal einen anderen Weg gesucht habe.

Aber lassen wir das, ich kann mit Deinen Kommentaren, die sicherlich nicht böse gemeint sind, nicht umgehen, oder sie kommen bei mir anders an als Du es meinst.

So long

Der Schotte im Rock
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Libvirt Port forwarding
Frage von fundave3Router & Routing1 Kommentar

NAbend zusammen, Eventuell könnt ihr mir helfen. ICh bin dem Tipp von aqui gefolgt und habe meine alte Monitoring ...

Router & Routing
Multiple Port Forwarding
gelöst Frage von easy4breezyRouter & Routing17 Kommentare

Hi Leute, ich beschäftige mich schon eine Weile mit den Ports und wie das Forwarding läuft etc. Nun möchte ...

Router & Routing
PfSense Port Forwarding - Problem
gelöst Frage von noizedeRouter & Routing17 Kommentare

Liebes Forum! Ich kämpfe seit Tagen mit einem Port Forwarding auf meiner pfSense zu meiner Visualisierung auf einem Smart ...

Router & Routing
Doppeltes Port Forwarding möglich?
gelöst Frage von helldunkelRouter & Routing12 Kommentare

Hallo zusammen, kann man mit der Fritzbox ein doppelltes Port Forwarding realisieren? Ich habe zwei Router: einmal die Fritzbox ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 14 StundenHumor (lol)3 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 1 TagWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...