Mal eine Frage in die Runde an die "Netzwerk Profis" hier.

Wie lässt sich ein Netzwerk Client überwachen/kontrollieren.

Beispiel Ausgangslage:
FritzBox Netzwerk Client per LAN Internet
Als "Client" meine ich z.B. ein Gerät mit iNet Verbindung (FireTV, WDTV ect.) sprich ein Gerät das über den Router eine Verbindung vom internen LAN nach draußen ins Netz aufbaut (auf z.B. Wetterdienst, Netflix, Radio usw.).

Die einzige derzeitige Möglichkeit so einen Client irgendwie zu "beschränken" ist die Freigabe am Router (über Black/Whitelist). Ist natürlich recht sparsam und vor allem nicht in "real Time".

Gibt es eine Möglichkeit den kompletten Netzwerktraffic über einen MacMini Server zu "routen". Auf dem MM läuft schon ein VPN Server und Little Snitch. Also die "Werkzeuge" wären schon vorhanden.

Dieses wäre natürlich die "Königslösung". Will der Client sich "ungefragt" irgendwo hin verbinden (z.B. Werbenetzwerke oder ähnliches unerwünschtes) schlägt am Mini LS an und fragt nach der Freigabe die dann erteilt wird oder eben nicht.

Geht so etwas überhaupt und ist dieses praktikabel, wenn nicht was wäre eine "Alternativ Lösung" ?

Klar kann man die ganze Netzwerkverwaltung auf einen richtigen Rechner ziehen und die Sparversion im Router abschalten. Die Frage ist aber ob der Aufwand lohnt und ob die eigenen Fähigkeiten ausreichen so etwas zu betreiben?

Aus dem Stand fällt mir nur das Stichwort "Proxy" ein. Inwieweit das sich hier umsetzen läßt kann ich nicht sagen.

Hallo,
ob sowas praktikabel ist hängt natürlich auch stark davon ab, wie oft der Client ins Netz will und wer dann Zeit hat, um die Freigabe zu prüfen und gegebenenfalls zu erteilen. Eine vordefinierte Whitelist im Router (Client darf nichts, von folgenden Ausnahmen abgesehen: 1., 2., 3., ...) bewegt sich vom Aufwand her vermutlich in vernünftigen Bahnen. Hängt natürlich stark davon ab, wie intensiv die Kiste genutzt wird, und was alles möglich bzw. nicht möglich sein soll. Sollen tausend Eventualitäten berücksichtigt werden, dann wirds aufwendig.

Es gibt Firewalls, die vorkonfigurierte Listen mit erlaubt / nicht erlaubt mitbringen, die sich dann auch relativ leicht anpassen lassen. Ob es sowas als reine SW-Lösung gibt und ob der Aufwand sich lohnt müsste noch geprüft werden.

Gruß
Uli

Wird am Anfang konfiguriert und später dann (bei Bedarf) erweitert bzw. angepasst.


Dafür müsste man ja aber "erst einmal" wissen wohin sich so ein Gerät überhaupt verbindet um dann zu entscheiden JA oder Nein ....
Da sehe ich das Hauptproblem derzeit; überhaupt nicht zu wissen was so ein Gerät "im Hintergrund" überhaupt macht.

nimm sowas wie Firetv: Darf auf Netflix, Maxdome, ARD, ZDF, RTL, Pro7... Je nachdem, was da noch an Apps drauf ist werden weitere Seiten freigeschaltet. Dadurch darf er das offensichtliche, und wenn irgendwelche Funktionen nicht zur Verfügung stehen, dann gilts zu klären, warum nicht. Dadurch wird der ganze Hintergrundkram erst mal stillgelegt.

Alles andere bleibt erstmal aussen vor, sprich wird gesperrt. Das führt dazu, das der Stick nicht auf Amazon darf (wenn das "nach Hause telefonieren" unterbunden werden soll, wobei ich nicht sagen kann, ob er dann noch funktioniert ), oder auch nicht auf Google. Wo ich jetzt passen muss ist ob es in der FB ein gescheites Protokoll gibt, das dir anzeigt, wo er noch überall drauf zu greifen wollte. Müsste man mal prüfen.

Ein Mac ist für so einen Aufbau eher ungeeignet, da man dazu üblicherweise entweder Software wie pfsense oder IPFire einsetzt, und wenn man das macht kann man sich gleich passendere Hardware als einen Mac Mini kaufen z.B. Hardware mit zwei GbE Ports. Es gibt sowohl auf pfsense wie auch auf IPFire basierende Appliances, so dass man sich nicht die Mühe machen muss das alles von Hand aufzubauen und es gibt den kommerziellen Support dafür.

Wenn man aber will kann man das alles selbst machen.

Ich weiß nicht ob sowas über die Internetfreigabe funktioniert, also ob LS sich da auch mit rein hängt.
Ansonsten lässt sich sowas über jede vernünftige HW-Firewall machen. Mit nem Proxy geht das vielleicht auch, der lässt sich aber u.U. einfach umgehen.

Bis jetzt ist dieses leider alles nicht praktikabel oder zielführend.
Eine extra Hardware (Firewall incl. Software) will ich nicht und kommt mir auch zu "oversized" für den Zweck vor. Der MM ist ein i7 QuadCore und hat schon ordentlich Power (läuft meistens gelangweilt mit < 5% Leistung im Hintergrund) da sollte der geringe Traffic nichts großartiges ausmachen.

Also gibt es keine einfache Lösung den Traffic per LAN "über den Mini" zu leiten und dann nach draußen ins Web ?

Nein, es gibt dafür mehrere Gründe. Erstens in einem normalen Netzwerk wird der Client direkt vom Router mit IP Adresse versorgt und weiß dann wie er direkt mit dem Internet kommunizieren kann. Da kann sich ein Computer in Netz nicht mehr dazwischen hängen (wir wollen hier kein Hijacking durchführen). Will man das verhindern muss man den DHCP-, DNS- Server am Router abstellen und den Router auf manuelle Konfiguration umstellen und dann mehrere IP Subnetze parallel betreiben. Sehr sinnvoll das ganze

Also brauchst Du am Mac zumindest zwei virtuelle NICs. Physische NICs können es natürlich auch sein. Damit VLANs funktionieren brauchst Du auch einen passenden VLAN fähigen Switch. Dann kann man im Prinzip einen transparenten Proxy auf dem Mac aufsetzen. Allerdings sind Macs von ihrer Software nicht dazu prädestiniert für solche Zwecke eingesetzt zu werden. Es artet in ein ziemliches Gebastel aus, weil auch macOS immer wieder dazwischen funkt und Dienste fährt, die man auf einer Firewall bzw. transparentem Proxy gar nicht gebrauchen kann. Dann muss man sich die passende Proxy Software mit Rewrite Rules auf den Mac installieren. Das Problem dabei ist folgendes, wenn jemand so etwas macht nutzt er wie bereits angesprochen entweder IPFire oder pfsense als Basis.

Die Hardware MacMini i7 ist nicht das Problem, der ist mehr als ausreichend für die Aufgabe.

pfsense nutzt die Firewall pf, die grundsätzlich auch für neue macOS Versionen verfügbar ist. Aber du wirst hier um das lesen vieler Dokumentationen nicht herum kommen, Einstieg:

In meinen Augen macht es keinen Sinn den Mac dafür zweckzuentfremden - lieber eine Hardwarefirewall (z.B. pfsense auf einem separaten Rechner) nutzen. Ich selbst nutze die Ubiquiti ACPs und auch das entsprechende Gateway. Über den Controller habe ich eine bequeme Möglichkeit die Firewall per Weboberfläche zu verwalten. Dank Deep-Package-Inspection kann ich von allen Clients nachvollziehen, welche Webseiten, Protokolle etc. die nutzen.