Einen RS1000 als Firewall? Völlig übertrieben, da reicht ein VPS 200 locker aus
Einen RS1000 als Firewall? Völlig übertrieben, da reicht ein VPS 200 locker aus
Für Besitzer des (wie der Name suggeriert nur Root-Server abdeckenden!) Root-Server Service Level A+ würde sich anstelle eines VPS ggf. ein RS500 über die Tauschbörse anbieten, sofern man testweise nur ein Gateway einrichtet (SPOF!), denn in dem Moment, in dem dieses ausfällt, sind die angebundenen Instanzen logischerweise zwingend(!) „von der Außenwelt abgeschnitten“.
Abgesehen davon sollte natürlich die Netzwerkgeschwindigkeit zwischen der Außenwelt, dem Gateway und (in der Regel via VLAN) angebundenen Instanzen „zueinander passen“, was die typischen Anwendungsszenarien betrifft.
...
Es gibt bestimmt einen Grund, warum es unter den ganzen (guten!) Community-Tutorials keins zum pfSense/OPNsense-Setup gibt. Es gibt, gerade am Anfang, wichtigeres und vor allem Maßnahmen, die mehr „Bang for the Buck“ bringen, als eine zentrale Firewall zum Verbinden von Netzen. Besonders, wenn das eigene Netz aus einem singulären Server besteht.
Wenn Du Deine lokale Firewall so einrichtest, dass nur Prozesse mit dem Internet Kontakt aufnehmen dürfen, denen Du es vorher erlaubt hast, ist schon viel gewonnen. Dann noch vernünftige Limits und Du bist schon ein Stück weiter. https://www.redhat.com/sysadmi…inux-network-firewall-cmd ist der einfachste Einstieg, den ich kenne. Sobald Du eine lokale Firewall korrekt konfigurieren kannst, weißt, was das Zonenkonzept ist und vor allem Dein eigenes Security-Konzept/Thread-Model hast, ist die OPNsense auch kein Problem mehr.
Bitte erlaube mir noch eine Anmerkung. Wenn Dir diese Konzepte „zu technisch“ sind: Wirst Du auf lange Sicht zufrieden damit sein, einem Hobby zu frönen, das bei den Basics schnell zu technisch wird?
Wenn Du Deine lokale Firewall so einrichtest, dass nur Prozesse mit dem Internet Kontakt aufnehmen dürfen, denen Du es vorher erlaubt hast, ist schon viel gewonnen.
Ja, hab ich..
Nochmal zur eigentlichen Frage:
da ja hier öfter mal geschrieben wird, man sollte einen kleinen VPS oder RS mit opnsense oder pfsense als Firewall vor dem eigentlichen Server schalten und den Rest via VPN machen (grad bei Windows-Servern; hab ich aber nicht):
Wo fängt man denn da an (hier bei Netcup, welches OS/Image, pfsense oder opnsense, usw.) oder gibts da fertige Images? Bitte in einfachen Worten...
Leute, das wird hier schon wieder zu technisch.. Ich hatte nach einem einfachen "How-To" gefragt.
Das ist halt ein komplexes Thema. Da gibt es keine "einfachen How-Tos".
Und selbst wenn du eines fändest. Was würdest du ohne das entsprechende Know-How machen, wenn mal was nicht läuft und plötzlich alles hinter der Firewall nicht mehr erreichbar ist?
Ist nicht böse gemeint. Aber du fährst langfristig besser, wenn du dich immer auch in die jeweilige Materie einarbeitest.
Was m_ueberall vermutlich versucht hat auszudrücken: Passt scho, denn wenn Du 2,5 Gbit Netzwerk mit einem RS hast, willst Du auch eine Firewall haben die das durchreichen kann.
Zur Installation, die läuft wie üblich, wenn kein Installer angeboten wird:
PFSense ISO von https://www.pfsense.org/download/ herunterladen, über den Bereich Medien - DVD Laufwerk mit einem FTP Client die ISO hochladen, einlegen und davon booten. Alles weitere dann via SCP VNC Konsole, bis man über ne Weboberfläche zugreifen kann. Ich habe PFSense noch nie verwendet, daher keine Ahnung wies dann weitergeht.
Damit Du das so umsetzen kannst wie gedacht, wirst Du übrigens ein Cloud VLAN brauchen ( https://www.netcup.de/vserver/root-server-erweiterungen.php ), Du kannst es mal mit dem kostenfreien 100Mbit LAN testen, aber für den Dauerbetrieb macht das keinen Sinn. Dann hast Du am PFSense RS zwei Netzwerkschnittstellen, das "normale" Internet und das VLAN. Das normale Interface ist dann Dein externes Interface, das VLAN ist Dein internes Interface. Den zu schützenden RS hängst Du auch an das VLAN und deaktivierst das Internetinterface des zu schützenden RS.
Nebenbei: Beim roten H kann man schlicht eine Firewall im Cloud Interface dazu buchen. Sowas würde ich mir bei Netcup auch mal wünschen. Gerne auch von mir aus kostenpflichtig. Bisher muss man ja auch einen RS "opfern" und ein teueres VLAN ordern.
nimm lieber opnsense, da wird mehr gemacht.
Zusätzlich zur public IP noch das VLAN. Wenn der Installer läuft, Schnittstellen manuell zuweisen, er vertauscht gern mal WLAN und LAN.
Das wars eigentlich auch schon. Mein erster Schritt ist immer eine Regel, die nur meine IP-Adresse zuhause fürs WLAN durchläßt (Firewall/Regeln/WAN Quelle: Deine öffentliche IP). Dann kannst Du in Ruhe konfigurieren.
Muss ehrlich sagen ich fahre einfach manuelle nftables und gut ist. Verstehe den Aufwand für normale Linux-Büchsen so gar nicht.
(Wer outgoing grundlegend blockiert hat entweder sehr genaue Ahnung wohin seine Box alles läuft - inklusive NTPD-Pools, oder zu viel Zeit alles im Log nach zu gucken und anzupassen.)
