Wie betreibe ich mit einem Rechner zwischen Modem und Endgeräten eine Firewall?

**Ja: Du kannst einen normalen Rechner als Firewall zwischen Modem und deinen Geräten betreiben, indem du ihn als Router mit mindestens zwei Netzwerkschnittstellen einsetzt. Dann läuft der gesamte Datenverkehr erst durch diesen Rechner – und genau dort filtert die Firewall.** ## So sieht der Aufbau aus Die saubere Reihenfolge ist: **Modem/ONT → Firewall-Rechner → Switch/WLAN-Router im Access-Point-Modus → Endgeräte** Entscheidend ist: Der Rechner darf nicht einfach „irgendwo im Netz“ stehen, sondern muss **physisch dazwischen** sitzen. Du brauchst dafür in der Praxis: - **2 Netzwerkschnittstellen** am Rechner - **WAN**: Richtung Modem/Internet - **LAN**: Richtung Heimnetz - ein Betriebssystem oder eine Distribution mit Routing- und Firewall-Funktion - optional einen Switch oder Access Point für mehrere Geräte ## Was der Rechner dann konkret macht Der Firewall-Rechner übernimmt mehrere Aufgaben gleichzeitig: - **Routing** zwischen Internet und Heimnetz - **Paketfilterung** per Firewall-Regeln - meist auch **NAT** - oft zusätzlich **DHCP** und ggf. **DNS-Forwarding** Das bedeutet praktisch: Deine Endgeräte bekommen ihre lokale IP nicht mehr direkt vom Modem oder alten Router, sondern vom Firewall-System. ## Die einfachsten Lösungen Am sinnvollsten sind dafür spezialisierte Firewall-Systeme wie: - **OPNsense** - **pfSense** - **OpenWrt** auf passender Hardware - unter Linux auch direkt mit **nftables/iptables** + Routing Für ein Heimnetz ist **OPNsense oder pfSense** meist deutlich besser als ein normales Desktop-Windows, weil diese Systeme genau für diesen Einsatzzweck gebaut sind. ## Minimaler Einrichtungsablauf 1. **Rechner mit 2 NICs vorbereiten** 2. Firewall-System installieren 3. **WAN-Port** mit dem Modem verbinden 4. **LAN-Port** mit Switch oder Access Point verbinden 5. LAN-IP festlegen, z. B. `192.168.10.1/24` 6. DHCP auf dem Firewall-Rechner aktivieren 7. Standardregel setzen: - **ausgehend erlauben** - **eingehend aus dem Internet blockieren** 8. Nur gezielte Freigaben einrichten, wenn du sie wirklich brauchst ## Wichtiger Unterschied: Modem vs. Router Viele nennen ihr Gerät „Modem“, obwohl es in Wirklichkeit ein **Router mit NAT und Firewall** ist. Das ist wichtig, weil es zwei Fälle gibt: ### Echtes Modem / ONT Dann kann dein Firewall-Rechner direkt die Internetverbindung aufbauen. Das ist der einfachste saubere Fall. ### Router vom Provider Dann musst du idealerweise: - **Bridge-Modus** - oder **Exposed Host / DMZ** - oder **PPPoE-Passthrough** nutzen. Sonst hast du oft **doppeltes NAT**, und das ist nicht immer schlimm, aber unnötig kompliziert bei Portfreigaben, VPN und Fehlersuche. ## Was viele falsch machen Ein häufiger Fehler ist, den Rechner einfach zusätzlich ans bestehende Netz anzuschließen und dort eine „Firewall-Software“ zu installieren. Dann schützt er **nur sich selbst**, aber **nicht automatisch die anderen Geräte**. Wenn der Rechner wirklich die Firewall für alle sein soll, muss er der **zentrale Übergangspunkt** zwischen WAN und LAN sein. ## Praxis-Tipp Wenn du das stabil und dauerhaft willst, nimm: - stromsparende Hardware - 2 Intel- oder Realtek-NICs - OPNsense oder pfSense - den vorhandenen WLAN-Router nur noch als **Access Point** Das ist deutlich robuster als ein normaler PC, der nebenbei noch andere Aufgaben erledigt. ## Kurz gesagt **Der Rechner muss als Router mit zwei Netzwerkschnittstellen direkt zwischen Modem und Heimnetz betrieben werden. Erst dann kann eine Firewall auf diesem Rechner den gesamten Verkehr deiner Endgeräte kontrollieren.**