PFSense Bridge 룰셋 질문

컴박   
   조회 5211   추천 0    

 안녕하세요 PFSense 를 통한 브릿지 모드로 방화벽을 구성했습니다.

WAN Interface - Bridge Interface - LAN Interface 로 구성되어 있고


해외 자료를 보니 제가 본 자료에는 WAN, LAN, Bridge 모두 pass 룰셋을 주고

브릿지 인터페이스에만 필요한 룰셋을 지정합니다.


그런데 다른 자료를 보니 wan인터페이스 에다 룰셋을 설정합니다..


브릿지 인터페이스에 룰셋을 설정하는것과 wan인터페이스에 룰셋을 설정하는것..

두개의 차이가 있을까요?
짧은글 일수록 신중하게.
pfsense의 브릿지는 리눅스와는 다르게 동작을 합니다.
외부에서 내부망으로의 접근은 WAN 에서 내부에서 외부로의 접근은 LAN 에서 방화벽 자체의 접근은 브릿지(ex. opt1) 에서 해주시면 됩니다.
     
컴박 2017-01
그러면 예를들어 외부에서 내부로 들어가는 아이피중 1.1.1.1 이란 아이피를 막고싶다면
WAN 에서 막으면 되는거로 보면 되는걸까요?
          
네 제 기억으로는 그렇습니다. 직접 테스트 해보면서 해보세요.
사실 브릿지를 만들면 내부,외부개념이 pfsense방화벽을 기준으로 구분이 되므로 원래는 브릿지 인터페이스에서 제어하는게 맞을텐데
pfsense는 분리가 되어 있더군요.
리눅스의 경우에는 브릿지 인터페이스만 올리고  forward 체인에서만 컨트롤해주면 되는데..
               
컴박 2017-01
지금 구성이 백본 - PFSENSE - 스위치 - 서버들 이렇게 구성되어 있습니다.
일종의 방화벽이라고 보면 되겠군요..

백본 - PFSENSE 쪽은 WAN 이라 보면 되고 PFSENSE - 스위치 쪽은 LAN 이라 보고
PFSENSE 그 자체를 브릿지라고 보면 되는건지요..

아.. WAN에 체인을 주면 들어오는거.. LAN에 체인을주면 나가는거.. 브릿지에 체인을주면 양방향다.. 체인이 걸리는게 맞겠군요..
(source ip 만 block 한다고 했을때..)
김성현x86 2017-01
설정이 편해지는 것이고 결과적으로 달라지는 것은 없습니다.. 온갖 다양한 기능을 이용할 생각이라면 WAN / LAN 으로 룰셋이 따로 존재하는 게 불편하기에 중간에 외나무다리를 하나 걸어놓고 그 길목에만 룰셋을 놓으면 무척 편할 것입니다. 당장 뭐가 안돼서 어느 포트를 열어야 될 상황을 생각해봐요. 탭 2개를 왔다갔다 해야 될 것을 생각하면 짜증날 것입니다. 이런 식으로 설정할 곳을 줄이는 작업을 장애포인트를 최소화한다고 표현하는 것입니다. 방화벽으로만 쓰고 있으면 WAN, LAN 두개로 충분하기에 그런 것이고.. 예를 들면 VPN을 추가하거나 Multi-WAN으로 바꾸거나 하게 되면 별로 이해하고 싶지 않은 이유로 테이블이 지저분해질 것입니다.
로그인 하시면 댓글을 남길 수 있습니다


QnA
쓰기
제목Page 2638/5723
2014-05   5233288   정은준1
2015-12   1759684   백메가
2016-12   5213   Win31
2012-05   5213   조운
2009-06   5213   강대섭
2007-02   5213   김영수
2007-10   5213   조윤성
2006-05   5213   가동윤
2006-10   5213   옥선욱
2017-02   5213   블루영상
2015-10   5213   2cpumem
2014-04   5213   오성기
2014-09   5213   빠시온
2013-11   5213   허영진
2016-12   5213   도리도링2
2019-06   5213   피카츄털
2017-11   5213   cclim
2007-12   5214   이정근
2013-12   5214  
2005-10   5214   박종대
2014-02   5214   신현준
2016-05   5214   이윤주
목록
쓰기