Die Frage nach der Hardware ist nicht ganz unwichtig. Prinzipiell tut’s auch noch ein etwas älterer 486er; der bootet von einer Diskette, auf der ein Linux installiert ist, und alles weitere läuft dann über iptables. Kann man machen (ich habe das selbst mal im Einsatz gesehen), das funktioniert tatsächlich. „Komfortabel“ ist allerdings anders – iptables per Hand editieren ist nicht unbedingt das, was ich mir darunter vorstelle…
Theoretisch müsste sich so ein Vorhaben auch mit einem Raspberry Pi durchführen lassen (auch in etwas komfortabler). Das Problem ist dabei nur, dass der Pi nur eine Netzwerkschnittstelle hat. Man müsste also mit USB-to-LAN-Adaptern nachrüsten. Das kann funktionieren (ich hatte selbst mal einen Intel NUC mit so einem Adapter als Firewall laufen), allerdings bietet diese Variante nicht wirklich Performance.
Was recht gut funktioniert hat, war der eben genannte Intel NUC mit einem USB-to-LAN-Adapter. Allerdings soll es zuweilen vorkommen, dass diese Adapter nicht wirklich zuverlässig funktionieren – bei mir lief das zwei Monate durch, aber das kann auch nur Anfängerglück gewesen sein.
Was die Hardware angeht, sind die Anforderungen recht moderat (nicht vergessen: Ich will keinen Mega-Konzern absichern, sondern mein Heimnetz). Es muss nicht der aktuellste Core i9 mit 8TB RAM sein. Ein Prozessor mit etwa 1½ GHz dürfte reichen. Viel RAM braucht es auch nicht – ab 512MB ist man dabei (zumindest für die Grundfunktionalität – wenn’s etwas mehr sein darf, wie z.B. Traffic Shaping oder sogar Deep Packet Inspection, gilt das Motto „Viel hilft viel“). Wichtig ist, dass mindestens zwei Netzwerkschnittstellen vorhanden sind: Da die Firewall die Schnittstelle zwischen zwei Netzen (meinem privaten und dem Internet) ist, braucht sie auch für jedes dieser Netze einen „Anschluss“. WLAN wäre toll, aber momentan für mich nicht kriegsentscheidend (das lässt sich auch anders realisieren).
Prinzipiell sind die apu.boards nicht schlecht für diese Aufgabe – sie kommen mit einem embedded AMD-Prozessor, bis zu 4GB RAM und mehreren Netzwerkschnittstellen daher. Leider waren sie, als ich das Projekt gestartet habe, sehr schwer (eher gar nicht) zu bekommen. Nach einigem Googeln bin ich auf das X11SBA-LN4F von Supermicro gestoßen. Das bringt einen 1,6GHz Intel-Prozessor und vier Netzwerkschnittstellen mit. Außerdem kann es bis zu 8 GB RAM nutzen – das dürfte für ein kleines Heimnetz ausreichen. Charmant: Das Board hat eine IPMI-Schnittstelle. Darüber lässt es sich übers Netzwerk verwalten. Es braucht also nicht noch Monitor, Tastatur und Maus.
Passend dazu gab’s noch das Gehäuse mit Frontanschlüssen (das gibt’s auch mit den Anschlüssen nach hinten, für mich ist ersteres aber besser geeignet). Eine kleine SSD (32 GB sollten reichen) und 8GB RAM runden das Ganze ab.
Fotos von der Verkabelung erspare ich mir einmal – so dramatisch ist das nicht, und wer schonmal ein wenig am PC rumgeschraubt hat, sollte keine Probleme haben.
Im nächsten Teil geht es dann um die Auswahl der Software und deren Installation.