PFSense Bridge 룰셋 질문

컴박   
   조회 5201   추천 0    

 안녕하세요 PFSense 를 통한 브릿지 모드로 방화벽을 구성했습니다.

WAN Interface - Bridge Interface - LAN Interface 로 구성되어 있고


해외 자료를 보니 제가 본 자료에는 WAN, LAN, Bridge 모두 pass 룰셋을 주고

브릿지 인터페이스에만 필요한 룰셋을 지정합니다.


그런데 다른 자료를 보니 wan인터페이스 에다 룰셋을 설정합니다..


브릿지 인터페이스에 룰셋을 설정하는것과 wan인터페이스에 룰셋을 설정하는것..

두개의 차이가 있을까요?

짧은글 일수록 신중하게.
pfsense의 브릿지는 리눅스와는 다르게 동작을 합니다.
외부에서 내부망으로의 접근은 WAN 에서 내부에서 외부로의 접근은 LAN 에서 방화벽 자체의 접근은 브릿지(ex. opt1) 에서 해주시면 됩니다.
     
컴박 2017-01
그러면 예를들어 외부에서 내부로 들어가는 아이피중 1.1.1.1 이란 아이피를 막고싶다면
WAN 에서 막으면 되는거로 보면 되는걸까요?
          
네 제 기억으로는 그렇습니다. 직접 테스트 해보면서 해보세요.
사실 브릿지를 만들면 내부,외부개념이 pfsense방화벽을 기준으로 구분이 되므로 원래는 브릿지 인터페이스에서 제어하는게 맞을텐데
pfsense는 분리가 되어 있더군요.
리눅스의 경우에는 브릿지 인터페이스만 올리고  forward 체인에서만 컨트롤해주면 되는데..
               
컴박 2017-01
지금 구성이 백본 - PFSENSE - 스위치 - 서버들 이렇게 구성되어 있습니다.
일종의 방화벽이라고 보면 되겠군요..

백본 - PFSENSE 쪽은 WAN 이라 보면 되고 PFSENSE - 스위치 쪽은 LAN 이라 보고
PFSENSE 그 자체를 브릿지라고 보면 되는건지요..

아.. WAN에 체인을 주면 들어오는거.. LAN에 체인을주면 나가는거.. 브릿지에 체인을주면 양방향다.. 체인이 걸리는게 맞겠군요..
(source ip 만 block 한다고 했을때..)
김성현x86 2017-01
설정이 편해지는 것이고 결과적으로 달라지는 것은 없습니다.. 온갖 다양한 기능을 이용할 생각이라면 WAN / LAN 으로 룰셋이 따로 존재하는 게 불편하기에 중간에 외나무다리를 하나 걸어놓고 그 길목에만 룰셋을 놓으면 무척 편할 것입니다. 당장 뭐가 안돼서 어느 포트를 열어야 될 상황을 생각해봐요. 탭 2개를 왔다갔다 해야 될 것을 생각하면 짜증날 것입니다. 이런 식으로 설정할 곳을 줄이는 작업을 장애포인트를 최소화한다고 표현하는 것입니다. 방화벽으로만 쓰고 있으면 WAN, LAN 두개로 충분하기에 그런 것이고.. 예를 들면 VPN을 추가하거나 Multi-WAN으로 바꾸거나 하게 되면 별로 이해하고 싶지 않은 이유로 테이블이 지저분해질 것입니다.


QnA
제목Page 5577/5718
2015-12   1740457   백메가
2014-05   5208763   정은준1
2013-03   16920   머라카는데
2014-09   5847   김민철GC
2023-06   2330   명랑
2003-12   9619   박동선
2010-02   7462   가빠로구나
2006-07   5848   이대로
2016-12   5625   송주형
2020-07   2513   송진현
2010-02   6659   다이어트
2021-11   3837   한효석
2006-07   4747   노극태
2018-02   4833   삼돌군
2021-12   2192   늘파란
2016-12   5176   컴박
2014-10   5629   김건우
2004-01   8633   오상훈
2020-07   4960   만무라비
2023-07   2193   langrisser
2006-08   5234   심규상
2010-03   9246   cjsrbc