Hardware firewall nodig voor klein thuisnetwerk

Hallo,

Ik heb een hardware firewall nodig voor mijn thuisnetwerk.
Deze wil ik plaatsen tussen mijn switch en de Fritzbox, of de switch vervangen.

Op mijn Linux PC gebruik ik nftables (opvolger van iptables) en dat volstaat eigenlijk wel.
De hardware firewall heb ik nodig voor de andere apparaten in mijn netwerk, zoals de TV en Smart TV ontvanger.

Ik wil het gebruiken om bepaalde uitgaand netwerkverkeer te blokkeren, zoals telemetrie en dergelijke.

Wat zijn mijn opties?

Ik zag o.a. de routers/firewalls van Netgate, maar ik vond deze redelijk duur.
De prijs begint rond de 200 euro voor het goedkoopste model Netgate 1100.

Zijn er goedkopere type firewalls van een ander merk?

Sinds enkele jaren gebruik ik de doosjes van Mikrotik. Die zijn er in verschillende prijsklassen en er is vrij veel keus aan modellen.
Ze zijn verre van plug&play dus wat kennis of de wil om kennis op te doen is wel nodig.

2 likes

Je zou een ER-X kunnen overwegen, die zijn al niet zo duur, en op martkplaats helemaal goedkoop te krijgen. Als je daar OpenWRT op flasht heb je alles waar je het over hebt op een 5-poorts managed gigabit switch met een Linux kernel waar je op kan inloggen via ssh, web, etc.

De ER-X heeft een ramips/mt7621 chipset, 4 cores, dus daar is nog wel adblock-plus ofzo op te draaien om dns te filteren als je zover wil gaan. Wel een puntje, de ER-X is redelijk krap als je er op gigabitsnelheden mee wil filteren ofzo. Dan heb je iets sterkers nodig.

Wat Roy zegt over Mikrotik klopt. Enige kennis opdoen is daarbij vereist, maar de standaard firewall die je kunt installeren is voor de meeste gebruikers voldoende. (Ik gebruik al jaren Mikrotik en wil niet meer een ander apparaat.)
Er bestaan vele tutorials op youtube. Een link die ik vaak heb gebruikt is deze:https://www.wirelessinfo.be/mikrotik-router-configureren/
Deze man ken ik en legt alles in het Nederlands (Vlaams) uit.

Aangezien je op je PC al nftables gebruikt, is het een idee om een NUC/RPi te nemen en die met linux en nftables in te zetten als firewall?

Hier is een RPi 4B met 4GB in gebruik als firewall voor alles, incl TV. Werkt prima en komende vanaf 50 Mbit, is de 500 Mbit snelheid op de 1G lijn meer dan voldoende. (heb je meer snelheid nodig dan is de RPi te krap, netwerk troughput is daar de bottleneck)

Wat is er in de filtering die de Fritzbox zelf al kan uitvoeren onvoldoende dat een extra hardware firewall nodig is?

De FB is qua firewall beperkt tot haar “standaard” (Stateful Packet Inspection) en biedt bv verder geen (in)zicht in wat wel/niet wordt doorgelaten en is het alleen via een (moderne) browser te bedienen. Ook is geen tijdslot in te stellen noch extern aan te sturen of en hoelang bv een (frauduleus) IP of from/to port, zo ja, moet worden geblokkeerd etc.etc.
Zaken waar gemiddeld genomen, een consumerende gebruiker doorgaans geen behoefte of boodschap aan zal hebben.

Duidelijk. Inderdaad heeft een gemiddelde gebruiker geen behoefte aan die extra functionaliteiten.
Het enige wat ik “bovengemiddeld” doe is een eigen web- en mailserver draaien en sshd ook, op een linux box, en misbruik wordt voor instelbare tijd geblokkeerd via fail2ban. Dat werkt uitstekend en meer heb ik niet echt nodig. Mijn fritzbox blokkeert nog wel een aantal domeinen van waaruit Google en anderen ongewenste advertenties sturen en blokkeert all inkomende poorten behalve die voor de webserver, mailserver en sshd. Hoef ik dus geen 200 euro aan een hardware firewall te besteden (plus energiekosten). Dat is goed om te weten!

Dat is een beetje overdreven. Er zijn aanbidders van de fritzbox en dat is verder prima. Een ER-X kost nog geen twee tientjes 2e hands en nieuw 70 ofzo. Daarmee kun je de fritzbox volledig vervangen als je een glas aansluiting met NTU hebt. Dan krijg daarna volledige ongelimiteerde toegang tot alles wat er mogelijk is in de Linux kernel en daarop gebouwde wereld. Dat is een hoop meer dan enig fritzbox ooit heeft en zal kunnen.

Maar de gemiddelde gebruiker heeft zoiets helemaal niet nodig, dat weten we allemaal. Vandaar dat de vraag in dit topic niet voor niets expliciet was voor zo’n dergelijk apparaat met functionaliteit.

Sorry “meh”, zo bedoelde ik het niet.
De 200 euro was door “mmc” genoemd. Ik heb zelf geen idee wat een firewall kost. Ik huur gewoon de Fritxbox bij Freedom en voor mij is dat prima. De extra beveiliging voor mijn servertje wordt door Linux verzorgd.

Ik had even rondgekeken op de website van Mikrotik en de MikroTik hEX (Routerboard RB750Gr3) zag er wel goed uit qua prijs.
Is het ingewikkelder dan nftables om het te configureren of valt het mee?

Met nftables moest ik wat wennen aan de syntax, maar kon daarna wel uit de voeten.
Overigens gebruik ik veelal simpele regels zoals:
nft 'add rule ip filter OUTPUT ip daddr 8.8.8.8 counter drop'
nft 'add rule ip filter OUTPUT ip daddr 8.8.4.4 counter drop'
nft 'add rule ip filter OUTPUT ip daddr 185.93.175.46 counter accept' # freedom.nl

Is het veel ingewikkelder dan dat?
Ik zal ook even de tutorial die @nbrok had geplaatst doornemen.

ER-X is EdgeRouter X van Ubiquiti toch?

Ik zal dat ook even overwegen.

Ik moet zowel op DNS-niveau als direct IP-adres verkeer filteren.
Qua snelheden volstaat rond de 100-500 Mbps wel.

Dit is ook een goede optie.
Ik heb hier toevallig een oude Raspberry Pi en een Dell Optiplex PC.
De RPI is misschien niet voldoende, maar ik kan het op de Dell Optiplex PC wel even proberen.
Ik moet dan even kijken of het qua stroomverbruik zuinig is, en ook kijken of ik de boel goed ingesteld krijg.
Deze zou ik dan met de switch moeten verbinden, en dan wordt deze PC de nieuwe Default Gateway voor de andere apparaten. Deze firewall zou dan vervolgens de Fritzbox als Default Gateway moet gebruiken.

Ik had het geprobeerd met de Fritzbox, maar het lukte niet.
Volgens mij werkt het alleen met binnenkomende verbindingen, maar ik moet juist uitgaande verbindingen filteren.
Ik zal het nog een keer proberen voor de zekerheid.

Uitgaande verbindingen - los van generiek blokkeren op basis van source mac/ip aansluiting - zijn niet te filteren.
Wat ik elders doe voor sommige ongewenste sites, is dat IP adres omrouteren naar een blackhole.

Nogmaals: de FB voor het consumentendoel (whatever that may be) is het een prima ding maar ongeschikt om wat anders te doen dan AVM in haar wijsheid beschikbaar maakt. Het fijne van de FB is dat het in die basis prima functioneert (mits het niet crashed).

De FB kan weer andere eendenfuik dingen zoals Voip, ATA, ISDN, DECT en haar Huisautomatisering (schakelaars & verwarming).
NB: Ik was ooit een “aanbidder” totdat de FB - intern een Linux kernel - een afgesloten eco-systeem werd.

Er is veel meer configureerbaar dan enkel de firewall regels maar het configureren daarvan gaat vergelijkbaar.
Wil je, bijvoorbeeld, de FB vervangen dan zul je zaken als IPTV zelf moeten configureren. Daar is hier en daar ook wel informatie over te vinden maar het gaat niet vanzelf. Als je het bedoelt als extra kastje vóór de FB dan zal de basisconfiguratie wel voldoen.
De configuratie kan via de (prima) webinterface via de CLI (over SSH). Het fijne is dat echt alles met de CLI kan en dat je dit dus ook kunt scripten. Om even in detail te treden: een aantal fail2ban acties gaat fire-and-forget richting de firewall wat voordelen biedt ten opzichte van de lokale iptables.

Er zijn overigens mensen die zweren bij Ubiquity. Ik heb daar geen enkele ervaring mee maar daar kun je natuurlijk ook even naar kijken.

Dan moet je even kijken hoeveel snelheid je kan halen. Tot en met de 3 gaat alles via de USB chip en zit je aan max 480 mbps totaal. De 4 heeft een aparte netwerk chip, maar omdat ik een fysiek extern interface heb (via USB) kom ik daar weer niet voorbij de 500-600 mbps met verkeer door de RPi. (vanaf de RPi zelf haal ik 700+

Ik had een 4B met 2GB in gedachten, maar die was niet leverbaar, de 4GB wel. Bij eerste gebruik zag ik al meteen iets meer dat 2GB mem in gebruik.

Je kan wel even testen met een 2 of 3 en als het bevalt de config overnemen op een verse 4 of 5. (Als je een 3 hebt kan je starten met een 64 bit image, die kan 1 op 1 over in de 4 :wink: )

Het mooie is dat er best wel wat opties (“vrijheden”) zijn, afhankelijk van je keuze. Let op dat het bij direct aansluiten op glas het erg belangrijk is dat je weet welke aansluiting je krijgt/hebt (bijv. AON of XGSPON) en dat je de juiste SFP(+) hebt die bij voorkeur ook reeds bewezen werkt voor je aansluiting en met overweg kan met je router, denk daarbij ook aan SFP en SFP+ wat niet twee kant op uitwisselbaar is.

2 likes

Al eens de protectli vault overwogen?

1 like