Das Logo des Einplatinenrechners Raspberry Pi auf einem Computerbildschirm. Darunter Code für die Kommunikation mit der USB-Schnittstelle.
Security

Raspberry Pi als Firewall aufsetzen: So gehen Sie vor

Der Kleinstcomputer Raspberry Pi ist nicht nur unter Do-it-Yourself-Enthusiasten sehr beliebt. Egal, ob im privaten Bereich, für das Prototyping oder im Job: das kompakte Gerät ist ein Alleskönner. Erfahren Sie hier, wie Sie auf dem Raspberry relativ einfach eine leistungsfähige Firewall aufsetzen und so ihr Netzwerk absichern.

Jedes internetfähige Gerät sollte heute durch eine starke Firewall geschützt sein. Als Ergänzung zum Virenschutz kann eine gute Firewall viele Angriffe bereits im Keim ersticken. Mit dem allgegenwärtigen Mini-Computer Raspberry Pi und der Robustheit einer Linux-basierten Firewall-Distribution ist es einfacher denn je geworden eine kleine, aber effektive Firewall zu erstellen.

Inhaltsverzeichnis

UFW, IPFire und Co.: Den Raspberry Pi als Firewall nutzen

In einer zunehmend vernetzten Welt ist der Schutz Ihres Homeoffice- oder Büronetzwerks vor externen Bedrohungen von höchster Bedeutung. Für den Betrieb einer Firewall in Debian-basierten Linux-Betriebssystemen gibt es verschiedene Lösungen, so auch für den Raspberry. Standardmäßig wird die Raspberry Pi OS-Distribution mit dem Tool „Iptables“ ausgeliefert, was zur Konfiguration für die ein- und ausgehenden Netzwerkpakete dient. Das Programm erfordert Grundwissen in der Netzwerktechnik und ist für reine Anwender häufig zu anspruchsvoll.
Linux stellt jedoch mit dem Netfilter-Framework alternative Möglichkeiten zur Verfügung, die sich einfacher und ohne tiefgreifende Netzwerkkenntnisse einrichten lassen. Eine Möglichkeit ist, auf dem Raspberry Pi eine Firewall-Verwaltungsschnittstelle namens UFW („uncomplicated Firewall“) zu installieren. Oder Sie verwenden die Open-Source-Firewall-Software IPFire. Beide Optionen bieten die Möglichkeit, den Raspberry Pi als Hardware-Firewall zu nutzen. Ist alles richtig eingerichtet, überwacht der Raspberry Pi dann den ein- und ausgehenden Netzwerkverkehr entsprechend der festgelegten Regeln.
Das brauchen Sie:
  • Raspberry Pi
  • microSD-Karte
  • Ethernet-Kabel
  • Stromversorgung
  • Monitor
  • USB-Tastatur
Sie benötigen mindestens einen Raspberry Pi 4 Model B mit einer 1-Gigabit-Schnittstelle. Aber auch die älteren Modelle Raspberry Pi 3 Model B und B+ werden unterstützt. Wichtig: der Raspberry Pi 5 funktioniert noch nicht mit IPFire. Dies kann sich später aber ändern.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

So richten Sie IPFire auf Ihrem Raspberry Pi ein

IPFire arbeitet mit vier Netzwerktypen, die farblich voneinander unterschieden werden:
  • Grün (LAN): ist das interne, lokale Netzwerk mit höchsten Anforderungen an Vertraulichkeit und Schutz
  • Blau (WLAN): markiert das separate WLAN-Netz für WLAN-Clients
  • Orange (DMZ): ist die sogenannte „Demilitarisierte Zone“ und beschreibt ein eigenständiges Subnetz das sowohl vom lokalen Netzwerk als auch vom Internet aus erreichbar ist. Die DMZ darf aber nicht auf das lokale Netzwerk zugreifen.
  • Rot (WAN): ist das externe Netzwerk – bzw. die Verbindung zum Internet-Service-Provider (ISP) – und damit das Internet
Hier finden Sie eine ausführliche Anleitung, wie Sie IPFire auf dem Raspberry Pi einrichten können:

IPFire installieren

  1. Zunächst laden Sie die IPFire ISO-Datei von der offiziellen IPFire-Website herunter.
  2. Sie können das Tool „balenaEtcher“ verwenden, um die ISO-Datei auf die microSD-Karte des Raspberrys zu übertragen.
  3. Als nächstes schließen Sie einen Monitor und eine Tastatur am Pi an. Nun können Sie den Pi starten. Wählen Sie auf dem Bildschirm den Eintrag „Install IPFire“ aus. (Der Eintrag wird nach einigen Sekunden auch automatisch ausgewählt.)
  4. Folgen Sie nun den Anweisungen des Installationsassistenten. Sie werden dabei aufgefordert die Lizenzbedingungen zu akzeptieren. Wählen Sie die Micro-SD-Karte des Pi als Installationsziel und ext4 als Dateisystem aus.
  5. Es folgt ein Neustart und danach beginnt die Netzwerkeinrichtung.

Einrichten der Netzwerkverbindungen

1. Wählen Sie nach dem Neustart im roten Bildschirm den Eintrag „Install IPFire (…)“ aus.
2. Stellen Sie für das Tastaturlayout Ihre Sprache (beispielsweise „de“ für Deutschland“) und Ihre Zeitzone (beispielsweise Europa/Berlin) ein.
3. Vergeben Sie dann einen Hostnamen für Ihre Hardware-Firewall (Standard ist: „IPFire“) und einen Domänennamen (Voreinstellung ist: „localdomain“).
4. Legen Sie ein Passwort für den Benutzer „root“ fest. Damit melden Sie sich später an Ihrem Pi an, um auf die Befehlszeile zugreifen zu können. Ein Hinweis: das Passwort werden Sie aus Sicherheitsgründen nicht am Bildschirm sehen.
5. Definieren Sie nun ein weiteres Passwort für den Benutzer „admin“; damit können Sie später auf die Weboberfläche des Pi zugreifen, um die IPFire-Firewall im Browser zu konfigurieren.
6. Das war einfach, das Eigentliche kommt aber noch. Nun sehen Sie das Menü für die Netzwerkkonfiguration.
  • Netzwerk konfigurieren: Zuerst wählen Sie aus, wie viele Netzwerktypen Sie einrichten wollen: Grün, Rot, Blau, Orange. (Standardmäßig sind nur Grün und Rot markiert.)
  • Netzwerkkarten zuordnen: Dann ordnen Sie jedem Netzwerktypen eine eigene Netzwerkkarte zu.
  • IP-Adresse(n) einstellen: Tragen Sie jetzt die erforderlichen IP-Adressen und logischen Adressbereiche für die ausgewählten Netzwerktypen ein.
7. Bestätigen Sie im Netzwerkkonfigurationsmenü mit „Fertig“.
Anschließend startet der Raspberry Pi den Firewall-Betrieb. Den Monitor und die Tastatur können Sie jetzt vom Gerät trennen, das Weitere läuft über die Weboberfläche.
Screenshot mit Angaben zur Netzwerkkonfiguration von IPFire. Den Netzwerktypen sind bestimmte Farben zugeordnet. Dabei sind standardmäßig die Farben „Grün“ und „Rot“ markiert; sie kennzeichnen das interne und das externe Netzwerk.
IPFire arbeitet mit vier Netzwerktypen, denen für die Konfiguration verschiedene Farben zugeordnet sind.

Öffnen der Weboberfläche im Browser

Praktischerweise können Sie den IPFire von jedem Computer des grünen Netzwerktyps aus konfigurieren.
Wenn Sie die Standardeinstellungen für den Hostnamen und die Domain übernommen haben, gelangen Sie zur IPFire-Weboberfläche über PC-Browser unter der Adresse:  https://ipfire:444 oder https://ipfire.localdomain:444.
Andernfalls geben Sie den Hostnamen und die Domain an, die Sie bei der Installation selbst festgelegt haben. Alternativ dazu können Sie auch die angegebene IP-Adresse eingeben.
Falls der Browser anzeigt, dass die Verbindung unsicher sei, wählen Sie die Option, die Website trotzdem anzuzeigen.
Über die Menüs am oberen Rand können Sie auf alle gewünschten Einstellungen zugreifen:
System: Unter „System“ finden Sie die Grundeinstellungen und können zum Beispiel den SSH-Zugang aktivieren oder eine Datensicherung durchführen.
Status: Unter „Status“ finden Sie Diagramme und Berichte zum Zustand der Firewall.
Netzwerk: Unter „Netzwerk“ sind alle klassischen Netzwerkeinstellungen wie „Zonen einrichten“, DNS-Weiterleitung oder URL-Filter zu finden.
Dienste: Unter „Dienste“ können Sie zum Beispiel IPsec (Internet Protocol Security), Open VPN, DynDNS (Dynamic Domain Name Service) einrichten.
Firewall: Unter „Firewall“ finden Sie verschiedenste Optionen, Regeln für die Firewall zu definieren, wie zum Beispiel IP-Adressen-Sperrlisten, und für „Iptables“.
IPFire: Unter „IPFire“ sehen Sie eine Liste aller installierten Pakete und Add-ons.
Ein Screenshot der grafischen Web-Benutzeroberfläche von IPFires zeigt verschiedene Optionen und Einstellungsmöglichkeiten an, zum Beispiel für System und Netzwerk oder zum Abrufen eines Statusberichts für die Firewall.
Über eine grafische Web-Benutzeroberfläche können Sie die System- und Netzwerkeinstellungen für IPFire vornehmen sowie zum Beispiel den Firewall-Statusbericht abrufen oder die installierten Pakete anzeigen lassen.

UFW-Firewall-Einrichtung erklärt

Wie der Name der UFW-Firewall („uncomplicated Firewall“) schon andeutet, ist diese Firewall einfach zu installieren und zu verwenden. Es handelt sich um die gleiche Firewall, die in allen Ubuntu-Distributionen verfügbar ist.
Sie können die UFW ganz einfach über die Kommandozeile installieren und konfigurieren. Die Eingabe individueller Regeln basierend auf Ports, IP-Adressen und Subnetzen geht dadurch leicht von der Hand.
Eine Schritt-für-Schritt-Anleitung finden Sie hier.

UFW-Firewall installieren

Betriebssystem aktualisieren: Dazu muss eine physische Verbindung mit dem Gerät existieren, die beispielsweise per SSH (Secure Shell) über ein Terminalfenster erfolgt. Neben dem Aufruf der ssh ist der Benutzername und die IP-Adresse des Pi zu übergeben:
ssh Benutzername@IP-Adresse des Pi
Die erste Aufgabe besteht darin, das Betriebssystem zu aktualisieren. Führen Sie dazu den Befehl „update“ auf dem Raspberry Pi aus:
sudo apt update
UFW-Software installieren: Sobald das Betriebssystem Ihres Raspberry Pi auf dem neuesten Stand ist, können Sie den Paketmanager UFW installieren:
sudo apt install ufw
UFW aktivieren: Nun sollte die UFW-Firewall installiert sein, aber sie ist noch nicht aktiv. Zum Starten geben Sie danach Folgendes ein:
sudo ufw enable
Wichtig: Vorher müssen Sie Regeln für kritische Dienste wie SSH hinzufügen, da Sie sonst möglicherweise nicht mehr selbst auf den Raspberry Pi zugreifen können.
Weitere Regeln hinzufügen: Nun können Sie basierend auf Ihren Anforderungen Firewall-Regeln für Ports oder Dienste erstellen.

Regeln für Firewalls und Ports einstellen

Der nächste Schritt ist die Konfiguration der Firewall. Dazu gehört es, den Datenverkehr über bestimmte Ports zu blockieren oder zu begrenzen. Beachten Sie, dass UFW standardmäßig den gesamten eingehenden Verkehr blockiert und den gesamten ausgehenden Verkehr zulässt.
Regeln für kritische Dienste haben Sie wie oben beschrieben bereits eingegeben.
Der wichtigste Schritt beim Umgang mit UFW auf dem Raspberry Pi, ist die Freigabe des Zugriffs über bestimmte Ports zu ermöglichen. Dazu geben Sie „ufw allow“ gefolgt von der Portnummer ein:
sudo ufw allow PORT
Wenn Sie zum Beispiel Port 22 zulassen wollen (der Standard-Port für SSH), lautet die Eingabe:
sudo ufw allow 22
Mit UFW ist es außerdem möglich, die Anzahl der Verbindungen über einen bestimmten Port zu begrenzen. Diese Funktion kann sehr nützlich sein, um die Anzahl der Verbindungen zu Ihrem SSH zu begrenzen und es einer externen Quelle zu erschweren, eine Verbindung zu erzwingen.
Das Begrenzen einer Verbindung funktioniert genauso wie das Zulassen einer Verbindung, wobei UFW sechs oder mehr Verbindungen innerhalb von 30 Sekunden nicht zulässt.
Um eine Verbindung zu begrenzen, verwenden Sie „ufw limit“, gefolgt von der Portnummer und optional dem Protokoll:
sudo ufw limit PORT
Sie können die Firewall zum Beispiel verwenden, um die Verbindungen zum SSH-Port Ihres Raspberry Pi zu begrenzen, wie folgt:
sudo ufw limit 22
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Die Firewall aktivieren

Sobald Sie Ihre Firewall-Regeln mit UFW auf dem Raspberry Pi hinzugefügt haben, können Sie ihn einschalten.
Wenn Sie SSH verwenden, um sich mit Ihrem Gerät zu verbinden, müssen Sie sicherstellen, dass Sie den Port 22 zulassen. Andernfalls wird die Verbindung nach dem Aktivieren der Firewall unterbrochen und Sie sperren sich selbst dauerhaft aus dem Raspberry PI aus. Ein erneuter Zugriff ist dann nur noch über einen vollständigen Hardware-Reset möglich.
Bevor Sie den UFW-Dienst aktivieren, können Sie sich alle derzeit aktiven Firewall-Regeln anzeigen lassen.
Dazu verwenden Sie „ufw“, gefolgt von „show added“:
sudo ufw show added
Dann erhalten Sie eine Liste der Regeln, die Sie zu Ihrer Firewall hinzugefügt haben, das könnte zum Beispiel so aussehen:
Added user rules (see 'ufw status' for running firewall):
ufw limit 22
ufw allow 80
ufw allow 443
Prüfen Sie diese, und wenn alles korrekt ist, können Sie die Firewall nun ganz einfach auf Ihrem Raspberry Pi aktivieren:
sudo ufw enable
Wenn Sie die Firewall aktivieren, erhalten Sie eine Warnung, dass bestehende SSH-Verbindungen möglicherweise unterbrochen werden.
Um fortzufahren, geben Sie „y“ ein und bestätigen Sie mit der ENTER-Taste.
Nun sollte die Firewall aktiviert sein und Sie erhalten hierfür eine Bestätigung in der Kommandozeile. Sie können den Status auch manuell abrufen per Eingabe von:
sudo ufw status
Dabei wird sowohl der Statuts Ihrer Firewall angezeigt als auch die Liste der derzeit aktiven Regeln. So könnte dort jetzt zum Beispiel zu sehen sein, dass die Ports 80 und 443 akzeptiert und der Port 22 eingeschränkt sind.
Das war es schon. UFW ist tatsächlich eine der einfachsten Möglichkeiten für Sicherheit auf Ihrem Gerät und in Ihrem Netzwerk zu sorgen.
Eine Frau und ein Mann stehen auf einer Baustelle

Jetzt mit IoT Easy Connect durchstarten

Zwei sorgenfreie IoT-Prepaid-Tarife ermöglichen Ihr eigenes IoT-Projekt auf Basis unseres Hochleistungsnetzes:

  • IoT Easy Connect 2G/4G für hohe Datenraten
  • IoT Easy Connect 2G/NB-IoT/LTE-M für schwierige Bedingungen

Warum der Raspberry Pi eine gute Firewall-Alternative ist

Der Raspberry Pi ist eine besonders preiswerte und kosteneffiziente Option, um ein Netzwerk im kleinen Betrieb oder zuhause im Homeoffice abzusichern. Aufgrund seiner geringen Größe und technischen Möglichkeiten besticht der Kleinstcomputer durch seine Flexibilität.
Auch in Sachen Stromverbrauch punktet der Allrounder als Firewall – was sich im Dauerbetrieb positiv bemerkbar macht.
Nicht zuletzt spricht das Linux-basierte Betriebssystem für den Pi, denn es ermöglicht eine breite Palette von Firewall- und Softwareoptionen, für die auch Zusatzfunktionen wie VPN, DNS-Filterung und Intrusion Detection Systems (IDS) zur Verfügung stehen.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Firewall auf dem Raspberry Pi einrichten: Das Wichtigste in Kürze

  • Der kompakte Minicomputer Raspberry Pi eignet sich als Hardware-Firewall sowohl für (kleinere) Betriebe, als auch für das Homeoffice.
  • Um den Pi als Firewall zu nutzen, empfehlen sich die einfach zu konfigurierenden und dennoch leistungsfähigen Firewall-Lösungen wie IPFire oder Uncomplicated Firewall (UFW).
  • UFW verwendet eine Kommandozeilenschnittstelle mit einer überschaubaren Anzahl von Befehlen und bietet damit eine unkomplizierte Möglichkeit, eine Firewall für den Raspberry Pi zu konfigurieren.
  • IPFire ist zwar modular aufgebaut, lässt sich aber unkompliziert über eine Weboberfläche im Browser konfigurieren.
  • Bevor Sie die Firewall auf dem Raspberry Pi konfigurieren, ist es wichtig, zunächst die Regeln für kritische Dienste wie SSH festzulegen, damit die Verbindung zum Gerät nicht versehentlich blockiert wird. Für den Zugriff über SSH müssen Sie Port 22 zulassen.
  • Der Raspberry Pi ist eine überzeugende und kostengünstige Firewall-Alternative, die zahlreiche State-of-the-Art-Features mit einer besonders hohen Flexibilität kombiniert – und das bei geringem Stromverbrauch.
Das könnte Sie auch interessieren:
Unified Communication
Junge Frau telefoniert in einer Küche

0800-Nummern: Mit kostenloser Inbound-Telefonie das Kundenerlebnis verbessern

Eine 0800er-Nummer ist für Anrufer:innen normalerweise kostenlos. Rufnummern aus diesem Nummernkreis sind ein nicht zu unterschätzendes Service- und Marketing-Tool. Denn die Kosten für Anrufe zu diesen Nummern tragen diejenigen, die die Nummer anbieten. In der Regel sind das Unternehmen, die auf diese Weise ihre Kund:innen enger an sich binden möchten – beispielsweise im Servicebereich. Was noch hinter der 0800-Vorwahl steckt, wie Sie eine solche Nummer beantragen können und welche Abrechnungsmodelle es gibt, erfahren Sie hier. Für viele ist ein Telefonanruf immer noch das erste oder zweite Mittel der Wahl für die Kontaktaufnahme mit Unternehmen. Laut einer Studie von Capterra nutzt sogar jede:r zweite Millennial weiterhin das Telefon, um Unternehmen zu kontaktieren. Trotz Konkurrenz durch E-Mail- und Messenger-Servicedienste bieten laut Studie 72 Prozent der befragten Unternehmen weiterhin Servicerufnummern an. Kund:innen erwarten hier in der Regel eine für sie kostenfreie 0800-Nummer. Laut der Capterra-Studie wünschen sich zwei Drittel der Konsument:innen auch bei Onlineshops eine 0800-Gratisrufnummer.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort