Forum: PC Hard- und Software Suche Firewall mit passender WebUI

IP-Cop, wird nicht mehr weiter entwickelt, aber es gibt einen 
Nachfolger. Für die meisten Anwendungen ist das Tool immer noch sehr gut 
und es deckt fast alle deine Forderungen ab.

Alexander W. schrieb:

> ich suche eine passende open source Firewall welche später auf
> dedizierter Hardware laufen soll.

Das Beste, was ich kenne, ist OpenSense.

> Jedoch möchte ich einfach live sehen von wo die Anfragen/Verbindungen
> kommen bzw wohin welcher PC eine Anfrage/Verbindung sendet.

Nö, das kann die nicht.

Die funktioniert so: du sagst ihr kompetent (und vergleichsweise 
komfortabel), was du an Traffic zulassen willst und die macht das dann 
auch so, wie du es ihr gesagt hast.

Da gibt es dann kaum noch einen Grund, nachzuschauen. Aber natürlich: 
wenn man unbedingt gezielt nachschauen will, geht das auch. Das dann 
allerdings nicht: Klickibunti mit "geo-location" und ähnlichem Unfug.

Sowas ist dann eher die Domäne von Bullshit wie Unify UDMPRO. Allerdings 
zahlst du für dieses Erlebnis. Und nicht gerade wenig...

Und das ganze Klickibunti ist natürlich nicht OpenSource...

pfsense (Community Edition)

Unter /Diagnostic/pftop

werden die aktuellen Verbindungen angezeigt.

Will man eine Historie kann man das Modul "ntopng" installieren.

Ob S. schrieb:
>> Jedoch möchte ich einfach live sehen von wo die Anfragen/Verbindungen
>> kommen bzw wohin welcher PC eine Anfrage/Verbindung sendet.
>
> Nö, das kann die nicht.

Die State Table kann OPNsense durchaus anzeigen, wie es aussieht:

https://docs.opnsense.org/manual/diagnostics_firewall.html

Ich hatte letztes Jahr ein paar der gängigen Klein-Firewalls kurz 
ausprobiert. Und landete bei einem alten Bintec Router, weil sonst 
unbefriedigend.

- IPv6: Zu manchen Netzwerkgeräten inkompatible IPv6 Implementierung, 
dann fehlende Adressvergabe (OPNsense, pfSense). Oder überhaupt nicht 
vorhanden (ipFire).

- Logging bzw Auswertung durchweg schwach bis unbrauchbar.

- Für RasPi fand ich nichts, was mir zusagte. Das Angebot für diese 
Plattform scheint dünn.

- PC basiert für 1 Gbit/s landete ich bei 15W aufwärts, was sicherlich 
eine Frage der Plattform ist. Mit den 5W des Bintec konnte nichts 
mithalten.

Das soll wirklich kein Pladoyer für Bintec sein. Den habe ich halt übrig 
gehabt und kenne ihn.

Ob S. schrieb:
> Da gibt es dann kaum noch einen Grund, nachzuschauen.

Nope, das reicht (mir) nicht. Oft hat man keine Ahnung, was überhaupt 
abgeht und benötigt Prokollierung und dessen Auswertung, um das zu 
analysieren. Und dann ggf gezielt freizuschalten, oder zu blockieren. 
Die Anzeige aktiver Sessions ist schon wichtig, aber nicht ausreichend.

Ob S. schrieb:
> Klickibunti mit "geo-location" und ähnlichem Unfug.

Ist das übliche Spiel. Klickibunti ist klar im Vorteil, wenn man sich 
nur sporadisch mit etwas befasst.

Geoblocking kann durchaus nützlich sein. Allein schon weil es einfacher 
ist, ganz China aussperren, als einem Gerät gezielt das Gespräch nach 
Hause zu untersagen.

(prx) A. K. schrieb:

> - IPv6: Zu manchen Netzwerkgeräten inkompatible IPv6 Implementierung,
> dann fehlende Adressvergabe (OPNsense, pfSense)

Huch? Also wenn eine standargerechte IPv6-Implementierung zu "manchen 
Netzwerkgeräten" inkompatibel ist, dann sagt das doch eher nur etwas 
über diese "manchen Netzwerkgeräte" aus, oder?

Und was meinst du mit "fehlender Adressvergabe"? OpenSense macht das 
Advertising, wie es der Standard fordert. Was fehlt dir hier?

Ob S. schrieb:
> Huch? Also wenn eine standargerechte IPv6-Implementierung zu "manchen
> Netzwerkgeräten" inkompatibel ist, dann sagt das doch eher nur etwas
> über diese "manchen Netzwerkgeräte" aus, oder?

Korrekt. Aber wenn Klein-Firewall gegen Gross-Google antritt, wer 
gewinnt dann wohl? Ich steige doch deshalb nicht auf iPhone/iPad um 
(falls dahingehend besser) oder verzichte gleich ganz darauf.

Ob S. schrieb:
> Und was meinst du mit "fehlender Adressvergabe"? OpenSense macht das
> Advertising, wie es der Standard fordert. Was fehlt dir hier?

Was genau schief lief weiss ich nicht. Aber wenn Androids mit Lösung A 
im WLAN IPv6 können, mit Lösung B aber nicht einmal eine nichtlokale 
Adresse finden, dann ist das ein Problem. Und wenn dazu in Foren über 
Google geschimpft wird, kann ich das zwar verstehen. Aber siehe eben, 
genervte Klage ist keine Lösung, sondern das Gegenteil.

Hmmm schrieb:

> Die State Table kann OPNsense durchaus anzeigen, wie es aussieht:

Natürlich.

Dir ist wohl nur nicht klar, was der Fragesteller wirklich erwartet und 
aus unerfindlichen Gründen für nützlich empfindet...

Der Typ ist offensichtlich ein Voll-DAU, der von einer Firewall vor 
allem erwartet, ihre "Leistungen" möglichst geil grafisch anzeigen zu 
können.

Also: 100000 (völlig normgerechte) Pings aus z.B. Indien geblockt: coole 
Leistung. Wenn das jetzt noch schön bunt und mit Weltkarte udnd tollen 
Traffic-Splines dargestellt wird, dann gibt's definitiv keine bessere 
Firewall.

So will der das. Das macht aus seiner Sicht eine gute Firewall.

Ob S. schrieb:
> Der Typ ist offensichtlich ein Voll-DAU, der von einer Firewall vor
> allem erwartet, ihre "Leistungen" möglichst geil grafisch anzeigen zu
> können.

Es ist schon eine Unverschämtheit das ein Typ wie du mich einfach als 
DAU beschimpfst. Offenkundig hast du keine brauchbare Erziehung genossen 
und die Moderation versagt.

Wir wollten für Schüler einfach nur sichtbar machen... aber egal!


Danke an die Anderen die wirklich helfen wollten!

Alexander W. schrieb:
> Wir wollten für Schüler einfach nur sichtbar machen... aber egal!

Oh eine Salamiescheibe? Jetzt gehts gar nicht um eine produktive 
Firewall sondern um eine Demo für Schüler?

Cyblord -. schrieb:

> Oh eine Salamiescheibe? Jetzt gehts gar nicht um eine produktive
> Firewall sondern um eine Demo für Schüler?

Das macht keinen Unterschied!

überall das gleiche, und dann nicht wundern, wenn sie alle wegrennen.