PiHole + IPFire = Sinnvoll?

[jtr00]

Ich habe mir vor ein paar Wochen einen RPi5 geordert. Jedoch hat es noch ein wenig gedauert bis das gewünschte Argon NVME Gehäuse geliefert wurde. Mittlerweile ist alles zusammengebaut und es kann losgehen.

Ursprüngliche Idee war der Test von PiHole da mich der parallele Upkeep von uMatrix an den verschiedenen PCs / Macs mittlerweile gelinde nervt.

Mittlerweile habe ich aber auch ein wenig was zu Firewall-Optionen a la IPFire auf dem Pi gelesen und denke darüber nach, ob es eine gute Option sein könnte derlei ebenfalls laufen zu lassen.

Ist es überhaupt möglich die beiden Funktionen parallel laufen zu lassen?
Hat jemand das womöglich so laufen?
Wie ist eure Einschätzung zu den Sicherheitsaspekten aka "nicht alle Eier in ein einen Korb"?
Was gibt es sonst zu beachten?

Besten Dank im Voraus für eure Inputs.

 

[Fujiyama]

Vor was genau willst du dich den Schützen?
Normalerweise braucht man ja keine separate Firewall.

 

[azereus]

konfigurier dir docker, proxmox, unraid oder einen anderen lxc container-manager in dem du deine 🥚 legst

 

[jtr00]

@Fujiyama - Spiele aktuell mit dem Gedanken mehrere IP-Cams zu installieren und möchte diese konsequent vom Internetzugriff trennen. Ich weiss, sollte auch plain & easy per FritzBox gehen. Mich würde jedoch ein zusätzlicher Layer beruhigen. Weitere Themen sind ownCloud + Mailserver ggfs. auf dem Synology NAS.
Und wer weiss was die Zukunft noch für Ideen bringt die davon profitieren könnten ;-)

@azereus - Mit der Möglichkeit das per Docker zu lösen, habe ich mich bisher nicht beschäftigt. Kannst du zufälligerweise eine gute Informationsquelle dazu im Zusammenhang mit dem Thema Firewall empfehlen?
PS: 🥚-Witze hatte ich bei der Formulierung schon vermutet, es sei dir gegönnt ;-)

 

[qiller]

PiHole + IPFire = Sinnvoll?

Weniger, weil IPFire sein eigenes DNS-Resolversystem hat, dass du mit dem pihole entweder umgehen musst, oder mit dem pihole die DNS-Auflösungskette verlängerst und damit die Dauer für die Namensauflösung ungecachter Anfragen erhöhst.

Wenn dir das Thema Sicherheit tatsächlich ernst ist, solltest du FW-Distributionen nicht virtualisieren, sondern auf dedizierter Hardware laufen lassen. Wenn das allerdings nicht deine erste Prämisse ist, sondern eher bestimmte Funktionen für dich sinnvoll einsetzbar sind, dann ist eine Virtualisierung durchaus legitim.

Dinge wie DMZ sind jedenfalls in IPfire schon vorkonfiguriert im Firewall-Regelset. Die muss man dann nur kennen (z.B. gibts in der DMZ kein Zugriff auf FW-Dienste wie DHCP/DNS).

Internetzugriff für bestimmte IP-Geräte blockieren ist natürlich für eine FW-Distribution eine Standardfunktion.

Eine wichtige Sache noch: IPFire ist aktuell immer noch IPv4-only. IPv6 soll mit IPfire 3 kommen.

 

[Kalsarikännit]

Was gibt es sonst zu beachten?

das der Pi5 rein für pihole absolut überdimensioniert ist :-)