Linux or BSD-variant in bridge modude met iptables.

eerste vraag is wat draait er thuis?
host je dingen, moet je die forwarden naar je firewall vanaf isp modem/router.
tenzij deze in bridge mode kan, dan forward je alles naar je firewall.
pfsense is wel leuk om mee te beginnen.

bijna elke micro pc heeft genoeg rekenkracht indien het EIGEN nic's heeft. dus geen usb dongles of iets dergelijks, vreten CPU en USB bus snelheid.

dus je wil iets met 2 ingebouwde netwerkkaarten. soort van WAN en LAN.

Als hobby project?

https://www.pfsense.org/download/
https://docs.netgate.com/pfsense/en/latest/
https://www.youtube.com/watch?v=fsdm5uc_LsU

Of meer geavanceerd OPNSense
https://opnsense.org/download/
https://www.sunnyvalley.io/post/howto-build-your-nextgen-firewall-at-home/
https://www.youtube.com/watch?v=q3rs7W8u3sk

De youtube channels zijn random geselecteerd en ik heb eerst paar minuten geluisterd en paar keer door geskipped zover kan beoordelen is het solide informatie.

Wat wil je blokkeren of juist doorlaten met die firewall? Of wil je vooral monitoren/loggen/auditten?

P.S. ik ben serieus benieuwd, ik denk er ook wel eens over maar ben nog niet overtuigd van de meerwaarde versus installatie-keuzes en -werk, onderhoud en vervelende bijwerkingen.

Waar het me met name om gaat is een serieuze voordeur met goed hang en sluitwerk tussen het thuisnetwerk (geen hosting, wel vpn toegang) en het adsl modem te zetten. Het adsl model is me een doorn in het oog. Dat is vaak het goedkoopst mogelijke model en meestal van van chinese makelij.

Topicstarter.

Nitpickje : nftables , tegenwoordig .

En niet in de bridge-module, maar als router . Achter een bridgend adsl modem wordt gerouteerd (en ge-NAT, 99.9%) tussen WAN en LAN .

Het is nogal spartaans, maar wel het meest leerzaam om het eens helemaal van de grond af aan op te bouwen , met nftables , diverse modules, dhcp server, openvpn etc .

pfsense, dat ook aangeraden is , werkt ook prima - en out of the box waarschijnlijk veel sneller/beter .

maar heb je het een keer echt vanaf de basis werkend gemaakt snap je meteen heel goed wat een firewall onder water, en achter de klik-gui doet , kan , en niet kan.

Overigens moet je zo'n zelfbouw optie vooral doen voor de lol, of het leren - in tijd/kosten of 'extra security' zie ik de redenen niet echt.

Veel onderbuikgevoelens!

Gebruik iets met max 4 cores en 6 GB RAM, een SSD-schijfje, en minimaal 2 netwerkpoorten, en zet daar https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx op.

Zie ook https://community.sophos.com/sophos-xg-firewall/f/discussions/89734/hardware-recommendation-for-sophos-xg-home-edition.

Untangle is ook leuk om te proberen.

Vraag je dan ook af of je alleen inkomend verkeer wilt controleren met je Firewall en ook uitgaand verkeer. Dat laatste is zeker qua beveiliging aan te raden als je wilt voorkomen dat malafide applicaties zomaar even contact met een hacker willen leggen.

Ja maar hij heeft het over "de standaard adsl router" dus die zal waarschijnlijk niet in bridge mode staan maar al als
NAT router werken en dan kun je daar zelf wel een firewall in bridge mode achter zetten.

Hoeveel zin dat heeft is de vraag natuurlijk. Een NAT router werkt al als inkomende firewall en de extra functionaliteit
van uitgaande firewalling is vaak lastig op een apart device te doen omdat je dan niet meer weet welk programma de
connectie opzet en daarmee een belangrijk deel van de functionaliteit van een uitgaande firewall mist.
(zeker nu tegenwoordig zowat alles uiteindelijk over een TCP poort 443 connectie loopt)

Wat een _gigantische_ overkill voor maximaal een paar honderd MBit/sec verkeer filteren.

Is geen issue voor een hobbyproject. En met 1 core en 4 GB gaat het ook, alleen minder snel. Er zit meer in dan alleen maar een beetje filteren. Ik ben erg blij met het kunnen afknijpen van Onedrive-uploads en XBox-updateverkeer tijdens thuiswerkuren.

Een quadcore dual lan mini pctje met Pfsense.

Tuurlijk is dat wel een issue! Je verstookt gigantisch veel teveel energie en dat ga je wel merken aan je stroomrekening
als zo iets 24u/dag aan staat. Niet erg wellicht als het door de baas betaald wordt maar thuis wil je dat niet.

(A)DLS is geen ehternet. Je zult dus iets met een modem icm bride mode moeten doen. Draytek heeft daar wel modems voor, of die het echter ook met jouw DSL verbinding doen weet ik niet. Zonder dit krijg je nooit het externe IP Adres direct op je firewall. Alternatief is dubbele NAT, maar verre van perfect.

Persoonlijk gebruikt ik OPNSense en vroeger PFsense icm met XS4ALL glasvezel. Hele mooie firewalls, maar je moet wel weten wat je wilt doen. Heb dit ook gebruikt icm Ziggo of andere glas aanbieders. Al dan niet icm backup DSL lijnen.
Op Tweakers zijn voldoende voorbeeld te te vinden wat je als hardware kunt gebruiken. Inclusief Energie verbruik. Want dit is natuurlijk wel hoger dan je standaard Internet provider aangeboden hardware.

Ik draai nu mijn firewall op een ESX server met PCI passthrough netwerk kaarten en ben hier zeer tevreden over, server staat toch aan. En het extra energie verbruik ik minimaal.
Maar mijn nieuwe firewall is op basis van een Supermicro A1SAi-2750F icm 4GB memory en een SSD. Ik geloof iets wat 20watt maximaal en heel veel CPU power. Moet alleen nog even iets meer geheugen regelen.

Ander alternatief is al een paar keer genoemd: je modem standaard in NAT mode laten en je firewall in bridge mode.
Of dit werkbaar is of niet hangt er maar vanaf wat je wilt met je netwerk. Ik wil ook liever het externe adres op mijn zelf
beheerde router zodat ik er protocollen op kan draaien die niet over NAT kunnen, maar voor veel mensen zal dat helemaal
geen issue zijn.

Ja, ik heb het zelf ook gedaan, best een leuk project. Mijn hardware was een afdank-PC met een extra ethernetkaart; software Debian met shorewall als rule-translator. Ik weet niet meer wat de specificaties van de PC waren, maar met 64 GB SSD en 256 MB ram moet het makkelijk draaien (tekst interface zonder desktop). Waarschijnlijk kun je met (veel) minder toe.

Als je enkel in test modus zit en zelf aanvallen simuleert heb je bijna niks nodig. 2GB RAM en 1 GHZ is meer dan genoeg.
Als je hem in productie zet voor jezelf in combi met Country blocks (GeoIP) dan adviseer ik 8GB Ram en quad core 2,4 GHZ
Vooral GeoIP zorgt vaak voor resource verbruik in combi met een secundaire WAF als Modsecurity V3 bijvoorbeeld.

Ik adviseer zelf om goedkoop een VPS in te kopen en daarop te werken in plaats lokaal de hardware te regelen.
Opschaling is stukken makkelijker je kan veel beter productie omgeving simuleren en beperkingen waar je tegen aan loopt is ook meteen realistisch. Makkelijk met snapshots maken van verschillende bouwfases als je fout maakt veel minder werk om weer te herstellen. Hebt wel maandkosten er natuurlijk aan maar die vallen opzich ook wel mee.

Heeft dat nog enig praktisch nut, country blocks? Lijkt me je zelf voor het lapje houden.
En hoe lang nog voor de WOKE gemeenschap je als racist neerzet?
Als particulier kun je dit wel doen maar stel dat uitkomt dat jij als beheerder van een groot bedrijf alle internetverkeer
"uit Nigeria" blokkeert (bijvoorbeeld) nou volgens mij komt er dan een schandaal en ben je je baan al haast kwijt.

Woke.... Sorry.....

Maar als bedrijf gebruikt men dit ook nog regelmatig. Is het de perfecte oplossing. Nee, absoluut niet. Maar het is een quick fix implementatie die direct een hoop bagger stopt. Een professionele hacker natuurlijk niet. Maar veel script kiddies wel.

Net zoals vaak TOR geblokkeerd wordt. scheelt gewoon direct veel bagger op je publieke diensten eventueel.

Wordt niet alleen daarvoor gebruikt verkeer kan ook geflagged worden, omgeleid voor verdere analyse en of filtering.
Als er spamcampagnes zijn naar aanleiding van groot lek dan anticiperen we daarop zelfde met rogue datacenter operations tijdens uitlopend conflict op geopolitiek niveau bijvoobeeld twee jaar terug met Oekraine.

Je moet het zien als een militaire kaart. Je funnelt de vijand om ze vervolgens met mortieren en machije geweren neer te maaien. Zoals aangegeven is niet perfect (dat is niks) maar je schade(als die er al is) en kosten zijn wel aanzienlijk lager.

[Resterende tekst is niet technisch]


Ik hou me verder niet bezig met wat iemand van de diensten vindt nog mijzelf. Wordt ik niet voor betaald dus tja. Daarnaast zijn interne zaken over exacte inregeling onder bewaakte NDA's De klanten hebben ook geen recht op inzage ook niet onder gdpr ze mogen hun eigen data inzien niet onze infra. Dus een woke derde wens ik veel succes en een woke klant houdt het niet lang vol bij ons.

Zelfde voor klanten die beginnen te schelden incombi met bedreiging naar mijn medewerkers of andere collega's. We zitten in een zakelijke positie dat we kunnen doen aan cherry picking en ik heb menig klant in afgelopen 15 jaar week de tijd gegeven om de boel te verhuizen of hun data permanent gewist te zien conform wpb, avg, gdpr met ontbinding van contract en terugbetaling van abbonement.

Sommige intereseert dat natuurlijk niets of posten vervolgens iets op socialmedia en daar mag marketing en account management zich mee bezig houden. Maar ook genoeg keren gehad dat er gesmeekt werdt om niet de boel eraf te halen omdat ze geen jota verstand hebben van data migratie.

Een bedrijf dat zijn klanten belangrijker vind dan zijn medewerkers heeft mij betreft geen bestaansrecht nog integriteit.

Verder cancel culture werkt alleen als er iets beschadigd kan worden. Maar als de gene in powerposition geen socialmedia gebruikt geen front end contact heeft met klanten en qua kennis positie niet makkelijk vervangbaar is heel veel succes. Daarnaast als racistisch vinden moeten ze zelf weten een van de zovele meningen die ik kan negeren die komen in mijn mentale blocklist ;) Ik deal met digitale dreigingen en woke is geen dreiging.

Je snapt em niet. Het is hetzelfde als wanneer je geen (volk-X)'en in je winkel binnenlaat "omdat dat een hoop bagger stopt". Tuurlijk werkt dat. Maar denk je dat de leden van (volk-X) die geen bagger zijn dat apprecieren? (en dan mag je voor volk-X zelf een volk of groep kiezen)
Het gaat er niet om of je hackers blokkeert, het gaat er om dat je de bewoners van een land als hackers of scriptkiddies typeert.

Misschien omdat ik ook weinig verkeer van of naar Rusland of Nigeria of ander land verwacht op mijn firewalls/diensten die ik aanbied richting het Internet.

Ik gebruik op diverse country blocks om verkeer tegen te houden. Als ik alleen binnen Nederland iets aanbied, waarom dat toegang geven vanuit de rest van de wereld?
Ofwel opt-in.....

Een linux gebakje met nftables kan een hoop, daar heb je geen snelheidsmonster voor nodig. Ik heb zelf momenteel een apu4d4 van pcengines draaien en dat bevalt uitstekend. Die is passief gekoeld, heeft een laag stroomverbruik (ca. 12W onder volle belasting) en is snel zat om m'n adsl verbinding vol te trekken icm. een grote nftables ruleset en er een load van 0.01 op na te houden.
De software is een reguliere distro op een externe ssd waar ik dmv scripts een initrd van maak, tijdens normaal gebruik draait hij alleen zo'n initrd. In het kader van de *sense namen als pfsense en opnsense heb ik het nonsense genoemd :-)

Er is geen volk-X er is geen sprake over bewoners we hebben het over IP range blocks onder de verzamelnaam van countryblocks op basis van OSINT databases en aanwezige traffic. Daarnaast doe je genoemde acties niet 123 daar gaat onderzoek aan vooraf. Je hebt als je beetje kennis van zaken hebt een overzicht van de netwerk demografie je hebt je netwerk daar ook op ingeregeld en dan als blijkt dat 98% van je klanten geen risico daarmee loopt dan kun je overwegen die 2% te excluden zoveel mogelijk van enige maatregelen en rest op piep systeem.

Je voorbeeld heeft niks te maken met de situatie maar als je een betere fysieke vergelijking wil. Stel jezelf voor als bewaker van een winkel en je ziet ineens een menigte allemaal in rood shirt met honkbalknuppels op de winkel afkomen. Ga je dan stoppen en vragen of die bij elkaar horen of ga je ze 1 voor 1 controleren omdat er mischien 1tje tussen zit die niet die honkbal knuppel door je ruit slaat? Nee je zorgt voor een baricade je belt de politie je laat ze niet door. Echter in tegenstelling tot een fysieke winkel kun je wel poortwachten zonder dat je in de tussentijd inelkaar geknuppeld wordt of je winkel en specifieke groepen gebruikers door een geheime deur laten.

Daarnaast weet niemand op het netwerk dat er iets gebeurd ze krijgen niet in beeld je bent geblokkeerd omdat bla bla. Je traffic wordt beperkt tot in ons ergste geval 1kb per seconde. Je zult denken dat er een dienst uitligt als je uberhaubt al het door hebt want er kan ook simpel weg een readonly copy getoont worden van alle informatie waar geen ongein op kan gebeuren of waar honeypots in zitten om gedrag analyse te doen van enige bot of aanvaller. En als al je wel ziet dat er iets gebeurd dan zul waarschijnlijk een storing melding maken je krijgt te horen na enige tijd dat er onderzoek naar wordt gedaan en intern is allang bekend welk verhaal er naar buiten mag worden gebracht.

En dit gebeurt vaker dan je denkt maar iets wat je zelf niet door hebt of inzicht in krijgt zoals de meeste netwerk beveiliging zaken of bedrijfs processen. Dus nee we snappen volkomen waar je op doelt maar heeft geen enkele waarde om ook maar seconde over na te denken op operationeel vlak.

Als je ooit in een positie komt omtrent leiderschap binnen netwerk beveiliging binnen een bedrijf zou ik zeggen pas je eigen methodiek toe maar wees dan ook consistent in je overtuiging. Ik ben erg benieuwd hoe men een DDOS gaat oplossen zonder toepassing van data generalisatie zonder langdurige downtime, schade en hele boze klanten.
Hier is een voorbeeld kaart van hoe omvangrijk alleen al DDOS is per seconde van online data en dit is maar een fractie van wat er speelt op online beveiliging gebied laat staan dat dit ook maar 10% is van alle DDOS dat nu gaande is.
https://threats.a10networks.com/

Zelf gaan sleutelen met firewalls is leuk en leerzaam, maar ook een waarschuwing vooraf. Realiseer je dat je veiligheidsrisico's als je niet precies weet dat je doet. Begin op een hobby PC/server die afgeschermd is van de 'normale' IT in je huis. Pas als je het een beetje onder de knie hebt, dan kan je je firewall gaan inzetten als primaire firewall.

Zelf ben ik ooit begonnen met iptables (nu nftables). Afhankelijk van je basiskennis over IP en netwerken is het wat pittig in het begin. Maar door het spartaanse karakter - gewoon configuratieregels - is het heel erg leerzaam. Andere voorbeelden, ook met mooie grafische interfaces, zijn hier al genoemd. Die geven een stuk gebruikersgemak, maar in mijn ogen minder goed voor het leerproces.

Veel succes met je hobby-project!

Tjeezus Tintin (en Milou?)! Wat is dat voor vunzige suggestie? Iets met je modem doen terwijl je het arme ding in bride mode hebt gezet? ;-)

Fout, dat is een client firewall probleem. Een netwerk firewall gaat daar niets tegen doen.
Je moet lokaal op de client "per app" connecties toestaan naar buiten met netsh of iptables (dat laatste is echt a1ds overigens, there is no cure) anders kan je access naar reverse shell poorten 443 of 53 blokkeren, maar dan werkt je omgeving niet meer rofl.

Daarbij kan het niet, aangezien de system resolver app van elk systeem gebruikt kan worden voor reverse shelling of data exfiltration, echter komt dat veel minder vaak voor dan overige reverse shells aangezien DNS "reverse shells veel langzamer zijn. Voor python2 kon je dit zelfs zonder dns server doen met packetwhisper, encoding en wireshark.

Daarbij is "per x update" van Windows10 een wijziging van update server IP's of domein namen, dus dan werkt je gehele setup niet meer en updaten je machines niet meer. Beternog, Windows10 by design gebruikt een catch all applicatie om veel system services door te routen, dus dat gaat uberhaupt niet werken. Veels te veel handwerk, niet te doen (of je budget moet enorm zijn, en je menselijk kapitaal uitputtelijk).

Monitoren? Nope, iedereen (in the right mind) gebruikt tegenwoordig (omtrent privacy redenen) DoT dnsovertls routers/linux of DoH dnsoverhttps browsers met dnssec en of vpn's. De goede reverse shells kunnen dit ook of zijn al encrypted en lijken al op https verkeer. Lokale detectie faalt ook vaak genoeg.

De enigste manier hoe jullie aan informatie komen is mond op mond, fysiek luisteren of openbronnen onderzoeken (bellen met mensen, ov). (saai). Om maar niet te spreken over de hoeveelheid misinformatie die terug gekoppelt word la mao.

Vergeet trouwens tijdens je projectje je VLANS niet samen met je DHCP en overige L2 protecties op je switches ;)! (oh! en success met het duizend keer bellen van je ISP tot ze je router in bridge zetten, mits ze het uberhaupt willen doen voor je).

Ik ben optimistisch, ik ook maar ik plaag de plaag geesten.

Misschien toch beter nog even wachten totdat providers het eigen moden toe moeten staan. Dat geeft wat meer controlemogelijkheden over het thuisnetwerk.

Ehh 4 cores, 6 GB ram en een SSD voor je thuisnetwerkje... Dan heb je genoeg voor de hele buurt en zn zusterstad... Stuk kleiner bakje met een linux / bsd variant of een out of the box iets als pfsense / opensense volstaat met 1 of 2 cores en de helft aan ram, ssd is niet nodig. In feite doet hij alleen logging naar disk. Het is echter wel fijn als je firewall snel gestart is vanaf cold boot. SSD is altijd chill, maar zeker niet nodig in dit geval.

Er staat letterlijk "max"... Dat is in dit geval een afkorting van "maximaal". Dat wil zeggen dat het ook met minder kan.

As je alleen maar pakketjes filtert is het vast een beetje overkill. Als je TLS-inspectie en snort wilt toepassen is het een ander verhaal.

Ik heb pfsense als VM op me NAS draaien werkt ook top!

snortd gebruikt niet zoveel, mits je iptables strak hebt staan en je virtual networks gebruikt.

Wat heeft deze discussie nog te maken met een thuis firewall????????
Country block erop voor het al het verkeer van buiten naar binnen en wel voor heel de aardbol en alleen nog Nederland toelaten is prima en daar zal echt niemand van wakker liggen.

TX-Team Nano of Flatbox?

https://shop.tx-team.de/Networking-Firewall/Desktop-Firewall:::5_7.html

Nu denken dat als een land of continent blockeert omdat die overlast bezorgen dan ben je geen racist.
Ik doe het ook in mailfilters die door velen worden overgenomen (zelfs blind).
Berichten die iets hebben er is iemand dood erfenis oplichting => dit is in werkelijkheid [een voorbeeld van geldezel om een groot bedrag van oplichters naar buiten te sluizen].
Het feit dat je iets blockeert zou landen moeten aanzetten die burgers duidelijk te maken dat zij niet zomaar kunnen doen wat zij doen.
Het feit dat elke rus op elke site geblockeert wordt heel simpel er zijn te veel hackers tussen en omdat het kaf van het koren niet te scheiden is gaat alles de vuilbak in.
Het feit dat via-gra zo veel wordt gespamd wordt pfiser door velen ook niet als betrouwbaar gezien .

Dus dat men overlast van welk continent ook wordt bestreden moet je alleen maar als positief beschouwen.
Nu denk je toch niet dat buitenlander in een nederlands opgebouwde site gaat kopen , moeten zij dan nog kunnen zien wat er te koop is ... nee.
Het groote probleem is dat hier google gebruikt wordt om dit na te gaan .Vervolgens je niet binnen mag als je wel tot het juiste gebied behoort maar google geen cookie op je computer laat zetten.Deze dit toch volledig ongevraagt achter de mensen hun rug wil doen zonder enige gdpr toesteming.Zo is in belgie de openbare omroep vrt niet publiek voor iedereen die geen google cookie wil aanvaarden . Is dan een omroep onpartijdig,publiek en toegangelijk voor iedereen ik dacht het niet.Verder wil je mogelijks het hen melden met een recaptch van google die je niet zal doorlaten . De technologie reuzen hebben te veel macht omdat zij simpele zielen met een website chanteren om analibrol op hun site te plaatsen en meteen bepalen wie er wel en niet mag kijken.Er moet een duidelijk signaal komen van de overheid die hosting en beheerders wel toe laat acties te ondernemen ,maar derde partijen zoals google hatebook amazon verbied om enige tussenkomst op een website toegang te verhinderen.
Nu dan bind de overheid elke gebruiker met een wetgeving die hacken verbied.Nu ik wacht op de dag dat het weer mag.
De informatie verzamelaars mogen nu al bang zijn want ik zou voor verwijderen of vollig plat leggen die boel.
Het is niet van niet kunnen het is van niet mogen en veel icters die ik ken willen die oorlog voeren op internet.
En de datalekken van instabiele sites zullen snel veel minder worden.