8
Zentraler Firewall-, Content-Filter auf separatem PC im gleichen Subnetz ohne NAT
Hallo allerseits,
es ist folgende (zugegebenermaßen etwas exotische) Konfiguration geplant:
Eine Fritzbox hängt an VDSL50, der gesamte Internetverkehr wird dort ja per default gaNATtet.
Hinter die Fritzbox soll via GB-Lan ein Windows-Rechner (z.B.Win7prof = Filterrechner) mit zwei Netzwerkkarten, der letztendlich nicht anderes macht, als den gesamten ein- und ausgehenden Verkehr zu filtern, und das OHNE erneutes NAT.
1.NIC zur Fritzbox = 192.168.100.11/255.255.255.0
2.NIC zum internen LAN = 192.168.100.22/255.255.255.0
Filterung soll möglich sein nach IP, URL(-bestandteilen), Schlüsselworten, Ports.
Hinter diesem 'Filterrechner' ist dann das interne Lan via Gb-Switch (192.168.100.xx/255.255.255.0) angeschlossen.
Warum eine solche Konfiguration?
- Der gesamte Internetverkehr kann zentral und ohne Zugriff der Netzwerk-User auf dem 'Filterrechner' konfiguriert werden.
- Es gibt Dienste, die mit einem zweifachen NAT (Fritzbox + Filterrechner) Probleme haben, z.B. Bittorrent, VPN.
- Optional kann ein Virenscanner zentral den Internetverkehr überwachen.
Ist eine solche Konfiguration denkbar?
Gibt es einen Softwarerouter mit Firewall, der nicht zwingend NAT braucht? Auch als OpenSource und/oder Freeware?
Danke, schönen Sonntag,
usercrash
es ist folgende (zugegebenermaßen etwas exotische) Konfiguration geplant:
Eine Fritzbox hängt an VDSL50, der gesamte Internetverkehr wird dort ja per default gaNATtet.
Hinter die Fritzbox soll via GB-Lan ein Windows-Rechner (z.B.Win7prof = Filterrechner) mit zwei Netzwerkkarten, der letztendlich nicht anderes macht, als den gesamten ein- und ausgehenden Verkehr zu filtern, und das OHNE erneutes NAT.
1.NIC zur Fritzbox = 192.168.100.11/255.255.255.0
2.NIC zum internen LAN = 192.168.100.22/255.255.255.0
Filterung soll möglich sein nach IP, URL(-bestandteilen), Schlüsselworten, Ports.
Hinter diesem 'Filterrechner' ist dann das interne Lan via Gb-Switch (192.168.100.xx/255.255.255.0) angeschlossen.
Warum eine solche Konfiguration?
- Der gesamte Internetverkehr kann zentral und ohne Zugriff der Netzwerk-User auf dem 'Filterrechner' konfiguriert werden.
- Es gibt Dienste, die mit einem zweifachen NAT (Fritzbox + Filterrechner) Probleme haben, z.B. Bittorrent, VPN.
- Optional kann ein Virenscanner zentral den Internetverkehr überwachen.
Ist eine solche Konfiguration denkbar?
Gibt es einen Softwarerouter mit Firewall, der nicht zwingend NAT braucht? Auch als OpenSource und/oder Freeware?
Danke, schönen Sonntag,
usercrash
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207730
Url: https://administrator.de/forum/zentraler-firewall-content-filter-auf-separatem-pc-im-gleichen-subnetz-ohne-nat-207730.html
Ausgedruckt am: 15.04.2025 um 13:04 Uhr
8 Kommentare
Neuester Kommentar
Guten Morgen,
pfSense bspw. Allerdings ist die Frage: Willst du dafür wirklich einen vollwertigen PC einsetzen - Stichwort Strom? Wlan wird an der Box nicht genutzt?
Grüße
pfSense bspw. Allerdings ist die Frage: Willst du dafür wirklich einen vollwertigen PC einsetzen - Stichwort Strom? Wlan wird an der Box nicht genutzt?
Grüße
Danke für die Antwort.
Nein, Wlan der Fritzbox wird nicht genutzt.
Ja, es soll ein vollwertiger PC sein, da zugleich (verschlüsselter) Auslagerungsspeicher des internen Lan.
pfSense ist wohl ein Linux-System auf der Basis von FreeBSD. Gibt es so etwas nicht für den Windows-Bereich?
Danke und Gruß
Nein, Wlan der Fritzbox wird nicht genutzt.
Ja, es soll ein vollwertiger PC sein, da zugleich (verschlüsselter) Auslagerungsspeicher des internen Lan.
pfSense ist wohl ein Linux-System auf der Basis von FreeBSD. Gibt es so etwas nicht für den Windows-Bereich?
Danke und Gruß
Hallo,
du kannst nach jeglicher Proxysoftware suchen, das scheint das zu sein, was du möchtest.
Grüße
du kannst nach jeglicher Proxysoftware suchen, das scheint das zu sein, was du möchtest.
Grüße
Ja, ein (transparenter) Proxy könnte einen Teil der Aufgaben übernehmen, hat meines Wissens aber diverse Nachteile:
Nicht alle Programme auf Clientseite kommen damit klar, insbesondere bei SSL-Verbindungen und diversen (auch automatischen) Updatefunktionen.
Ziel ist, die Clients im Lan "unberührt" zu lassen und den ein- und ausgehenden Verkehr auf dem Filterrechner zu regeln. Gemeint ist hier nicht nur der www-Verkehr, sondern auch VPN, FTP, Mail, Messager, Filesharing und andere Exoten.
Übliche Firewall/Routersoftware kann das, nur kenne ich leider kein Programm, welches ohne NAT auskommt. Und genau das kann ich nicht gebrauchen, da die Fritzbox schon NATtet, s.o..
Gruß
Nicht alle Programme auf Clientseite kommen damit klar, insbesondere bei SSL-Verbindungen und diversen (auch automatischen) Updatefunktionen.
Ziel ist, die Clients im Lan "unberührt" zu lassen und den ein- und ausgehenden Verkehr auf dem Filterrechner zu regeln. Gemeint ist hier nicht nur der www-Verkehr, sondern auch VPN, FTP, Mail, Messager, Filesharing und andere Exoten.
Übliche Firewall/Routersoftware kann das, nur kenne ich leider kein Programm, welches ohne NAT auskommt. Und genau das kann ich nicht gebrauchen, da die Fritzbox schon NATtet, s.o..
Gruß
...und warum sourcest du nicht das Natting auf den Nachgeschaltenen Router/Filter aus? Abgesehen davon kann man bei pfSense höchstwahrscheinlich auch das NAT deaktivieren.
PS: eine 5sek Google Recherche hätte dir gesagt, dass pfSense auch ohne NAT arbeitet.
PS: eine 5sek Google Recherche hätte dir gesagt, dass pfSense auch ohne NAT arbeitet.
pfSense wird allein nicht ganz reichen wenn der TO auch nach URLs und Web Content filtern muss.
Dann kommt er um einen Squid nicht drum rum, der aber mit einem simplen Mausklick als zusätzliches Package auf der pfSense installiert ist.
So oder so ist das dann die klassische Kombination pfSense und Squid.
Man bräuchte nichtmal die Fritzbox Gurke davor sondern könnte das auch ganz allein mit der pfSense machen wie das Beispiel es hier im Kapitel "VDSL" erläutert:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dann kommt er um einen Squid nicht drum rum, der aber mit einem simplen Mausklick als zusätzliches Package auf der pfSense installiert ist.
So oder so ist das dann die klassische Kombination pfSense und Squid.
Man bräuchte nichtmal die Fritzbox Gurke davor sondern könnte das auch ganz allein mit der pfSense machen wie das Beispiel es hier im Kapitel "VDSL" erläutert:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hi,
PfSense ist genau für solche Anwendungsfälle gemacht, was man von Win7 wohl nicht behaupten kann.
Wenn es nur die Fachunkenntnis, betreffs eines FreeBSD-Systems ist...
Mit etwas Einarbeitungszeit, ohne welche ein solches Projekt sowieso nicht funktioniert, ist pfSense mit seinem GUI recht einfach zu handlen.
Gruß orcape
Man bräuchte nichtmal die Fritzbox Gurke davor sondern könnte das auch ganz allein mit der pfSense machen
Es stellt sich sowieso die Frage, ob ein Win7 Prof. für solche Zwecke nicht "etwas fehl am Platze" ist.PfSense ist genau für solche Anwendungsfälle gemacht, was man von Win7 wohl nicht behaupten kann.
Wenn es nur die Fachunkenntnis, betreffs eines FreeBSD-Systems ist...
pfSense ist wohl ein Linux-System auf der Basis von FreeBSD
welches den TO dazu bewegt, hier ein Win7 einzusetzen, so kann ich Ihn beruhigen.Mit etwas Einarbeitungszeit, ohne welche ein solches Projekt sowieso nicht funktioniert, ist pfSense mit seinem GUI recht einfach zu handlen.
Gruß orcape
1
Moin,
Zu deinem "Filter-PC": Was du willst ist eine Bridge - die ist auf dem einen NIC mit dem Routrer verbunden und mit dem anderen NIC mit dem LAN und kann so den gesamten Netzverkehr einsehen und ggfs. blockieren. DPI Tools für Linux gibt's einige z.B. hier.
Die Bridge ist dabei komplett transparent, d.h. du benötigst kein separates Subnetz für diese Konstruktion
lg,
Slainte
Ja, es soll ein vollwertiger PC sein, da zugleich (verschlüsselter) Auslagerungsspeicher des internen Lan.
Was genau soll das sein? Ein verschlüsseltes Fileshare? Das hätte auf einer FW sowie nichts zu suchen, bzw wäre notfalls auch unter Linux abbildbar.Zu deinem "Filter-PC": Was du willst ist eine Bridge - die ist auf dem einen NIC mit dem Routrer verbunden und mit dem anderen NIC mit dem LAN und kann so den gesamten Netzverkehr einsehen und ggfs. blockieren. DPI Tools für Linux gibt's einige z.B. hier.
Die Bridge ist dabei komplett transparent, d.h. du benötigst kein separates Subnetz für diese Konstruktion
lg,
Slainte
