stone92김경민 2017-01

pfsense의 브릿지는 리눅스와는 다르게 동작을 합니다.
외부에서 내부망으로의 접근은 WAN 에서 내부에서 외부로의 접근은 LAN 에서 방화벽 자체의 접근은 브릿지(ex. opt1) 에서 해주시면 됩니다.

컴박 2017-01

그러면 예를들어 외부에서 내부로 들어가는 아이피중 1.1.1.1 이란 아이피를 막고싶다면
WAN 에서 막으면 되는거로 보면 되는걸까요?

stone92김경민 2017-01

네 제 기억으로는 그렇습니다. 직접 테스트 해보면서 해보세요.
사실 브릿지를 만들면 내부,외부개념이 pfsense방화벽을 기준으로 구분이 되므로 원래는 브릿지 인터페이스에서 제어하는게 맞을텐데
pfsense는 분리가 되어 있더군요.
리눅스의 경우에는 브릿지 인터페이스만 올리고  forward 체인에서만 컨트롤해주면 되는데..

컴박 2017-01

지금 구성이 백본 - PFSENSE - 스위치 - 서버들 이렇게 구성되어 있습니다.
일종의 방화벽이라고 보면 되겠군요..

백본 - PFSENSE 쪽은 WAN 이라 보면 되고 PFSENSE - 스위치 쪽은 LAN 이라 보고
PFSENSE 그 자체를 브릿지라고 보면 되는건지요..

아.. WAN에 체인을 주면 들어오는거.. LAN에 체인을주면 나가는거.. 브릿지에 체인을주면 양방향다.. 체인이 걸리는게 맞겠군요..
(source ip 만 block 한다고 했을때..)

김성현x86 2017-01

설정이 편해지는 것이고 결과적으로 달라지는 것은 없습니다.. 온갖 다양한 기능을 이용할 생각이라면 WAN / LAN 으로 룰셋이 따로 존재하는 게 불편하기에 중간에 외나무다리를 하나 걸어놓고 그 길목에만 룰셋을 놓으면 무척 편할 것입니다. 당장 뭐가 안돼서 어느 포트를 열어야 될 상황을 생각해봐요. 탭 2개를 왔다갔다 해야 될 것을 생각하면 짜증날 것입니다. 이런 식으로 설정할 곳을 줄이는 작업을 장애포인트를 최소화한다고 표현하는 것입니다. 방화벽으로만 쓰고 있으면 WAN, LAN 두개로 충분하기에 그런 것이고.. 예를 들면 VPN을 추가하거나 Multi-WAN으로 바꾸거나 하게 되면 별로 이해하고 싶지 않은 이유로 테이블이 지저분해질 것입니다.