사무실용 방화벽 겸 NAT 장비 제작 질문입니다.

쓰기

사무실용 방화벽 겸 NAT 장비 제작 질문입니다.

2017-04

2017-04-19 19:52:29

조회 4756 추천 0

안녕하세요. 소형 벤처기업에서 인터넷을 곁다리로 관리하고 있습니다.

사내에 컴퓨터 수는 그리 많진 않지만 큰 파일들을 다뤄서 트래픽이 좀 많습니다. 지금까지는 아이피타임에 24포트짜리 스위치를 물려 썼는데 좀 아닌 거 같아서(발열 때문에 팬까지 달아 돌리면서 고문 중입니다) 최상단에 라우터를 만드려 합니다.

아무래도 전문적인 장비는 비싸기도 하고 관리할 인력이 없기에 x86컴퓨터에 pfsense를 올려 쓰려 합니다.

회선은 1기가 풀로 들어오고, 내부 트래픽도 커질 때가 종종 있기 때문에 업다운 1기가 NAT + 내부 트래픽 처리도 충분히 되어야 합니다.

절차상 중고 거래는 불가능하고 신재품만 살 수 있습니다. 역시 절차상 문제로 조립은 고려하고 있지 않습니다. (사내 문제가 아니라 외적인 문제라...)

HP Microserver G1610T 모델 고려하고 있는데 성능이 받혀줄까 궁금합니다. 혹시 비슷한 거 있으면 추천 부탁드립니다. (허브랙이 있기 때문에 랙형 서버가 선호됩니다. 허브랙에 들어갈 수 있도록 하프사이즈면 좋겠지요...)

짧은글 일수록 신중하게.



김윤술 2017-04 슈퍼마이크로 1U 서버면 충분할듯 싶어요. X3400 시리즈인가 그걸로 방화벽 설치하면 꽤 잘돌아갈겁니다. 구입은 무조건 새걸로 해야된다고 한다면... 요즘 장비들은 워낙 사양들이 좋아서 방화벽만 쓰기에는 자원이 남을겁니다. Hyper-V 나 벰웨어 프리라이센스에 방화벽 OS 를 설치하고 운영해도 괜찮을듯 싶어요. 가상화를 이용한 방화벽을 쓰는 이유가 서버를 운영한다면 서버용 방화벽과 클라이언트 방화벽을 별도로 구성이 가능하고 프런트엔드와 백엔드를 구성할수가 있어서 편할수 있습니다. 허브랙에 사이즈 딱맞는건 슈퍼마이크로 1U 제품말고는 없을겁니다. 나머지 벤더사들은 길어요. 슈퍼마이크로 1U 서버면 충분할듯 싶어요. X3400 시리즈인가 그걸로 방화벽 설치하면 꽤 잘돌아갈겁니다. 구입은 무조건 새걸로 해야된다고 한다면... 요즘 장비들은 워낙 사양들이 좋아서 방화벽만 쓰기에는 자원이 남을겁니다. Hyper-V 나 벰웨어 프리라이센스에 방화벽 OS 를 설치하고 운영해도 괜찮을듯 싶어요. 가상화를 이용한 방화벽을 쓰는 이유가 서버를 운영한다면 서버용 방화벽과 클라이언트 방화벽을 별도로 구성이 가능하고 프런트엔드와 백엔드를 구성할수가 있어서 편할수 있습니다. 허브랙에 사이즈 딱맞는건 슈퍼마이크로 1U 제품말고는 없을겁니다. 나머지 벤더사들은 길어요.



Booraltak 2017-04 음~~ 설치 목적 중 하나가 모든 컴퓨터를 보호하자는 목적이 있어서 다른거 설치하는 건 어려울 것 같습니다. (HostOS 통신을 가상머신을 통해 하는 경우도 있던 거 같은데, 이 경우 유지관리 상황이 일어나면.... ㅠㅠ 라서 고려하고 있지 않고 있습니다. ) 음~~ 설치 목적 중 하나가 모든 컴퓨터를 보호하자는 목적이 있어서 다른거 설치하는 건 어려울 것 같습니다. (HostOS 통신을 가상머신을 통해 하는 경우도 있던 거 같은데, 이 경우 유지관리 상황이 일어나면.... ㅠㅠ 라서 고려하고 있지 않고 있습니다. )



Booraltak 2017-04 아참... 그렇다면 슈마 것을 제외한 랙형 서버는 고려를 못하겠네요. 소음도 생각해서 스탠드형도 고려를 해 봐야 갰습니다. 아참... 그렇다면 슈마 것을 제외한 랙형 서버는 고려를 못하겠네요. 소음도 생각해서 스탠드형도 고려를 해 봐야 갰습니다.



다람쥐v 2017-04 내부 네트워크에서 l3 라우팅이 돌아가고 있는 게 아니라면 오버스펙 같습니다. 기가비트 NAT는 컨수머 그레이드의 라우터에서도 충분히 커버되고 있거든요. 내부 네트워크에서 l3 라우팅이 돌아가고 있는 게 아니라면 오버스펙 같습니다. 기가비트 NAT는 컨수머 그레이드의 라우터에서도 충분히 커버되고 있거든요.



Booraltak 2017-04 사실 방화벽을 설치하려는 주된 목적은 제가 iptime의 신뢰성에 대해 무한한 의심을 품고 있기 때문입니다. 발열 때문에 뻗어 버리거나.... 종종 감염되어 DNS가 바뀐다거나... + 제가 집에서 가지고 놀려고 샀다가 시끄러워서 사무실에 넣어놓은 비운의 L3 스위치를 지금 L2처럼 운용 중입니다. 지금까진 그렇게 써 왔지만 이제 L3 답게 운용을 해 봐야죠. 사실 방화벽을 설치하려는 주된 목적은 제가 iptime의 신뢰성에 대해 무한한 의심을 품고 있기 때문입니다. 발열 때문에 뻗어 버리거나.... 종종 감염되어 DNS가 바뀐다거나... + 제가 집에서 가지고 놀려고 샀다가 시끄러워서 사무실에 넣어놓은 비운의 L3 스위치를 지금 L2처럼 운용 중입니다. 지금까진 그렇게 써 왔지만 이제 L3 답게 운용을 해 봐야죠.



phose 2017-04 성능이 괜찮은 L3스위치가 더 좋을 것 같습니다. 성능이 괜찮은 L3스위치가 더 좋을 것 같습니다.



Booraltak 2017-04 주니퍼 EX2200을 개인적으로 가지고 놀려고 여기서 15만원에 샀다가 집에서 쓰긴 시끄러워서 사무실에서 L2 처럼 굴리고 있습니다. 이게 기가빗 NAT를 지원하는지는 모르겠습니다. 주니퍼 EX2200을 개인적으로 가지고 놀려고 여기서 15만원에 샀다가 집에서 쓰긴 시끄러워서 사무실에서 L2 처럼 굴리고 있습니다. 이게 기가빗 NAT를 지원하는지는 모르겠습니다.



phose 2017-04 L3가 있다면 방화벽 장비도 괜찮습니다. 장비가 좋아져서 저렴한 가격에 사용할 수 있습니다. 말씀하시는 내용을 보면 Pfsense 세팅보다 상용 제품이 좋아 보입니다. L3가 있다면 방화벽 장비도 괜찮습니다. 장비가 좋아져서 저렴한 가격에 사용할 수 있습니다. 말씀하시는 내용을 보면 Pfsense 세팅보다 상용 제품이 좋아 보입니다.



Booraltak 2017-04 아쉽게도... 소형 벤처라 돈을 많이 쓸 순 없습니다. 관리자도 저같은 놈이 하고 있고요...(전문 교육을 받지 못했습니다. ) 그래서 pfsense를 제안한 겁니다... 다행스럽게도 pfsense 는 제가 사용 경험이 있습니다. 아쉽게도... 소형 벤처라 돈을 많이 쓸 순 없습니다. 관리자도 저같은 놈이 하고 있고요...(전문 교육을 받지 못했습니다. ) 그래서 pfsense를 제안한 겁니다... 다행스럽게도 pfsense 는 제가 사용 경험이 있습니다.



하셀호프 2017-04 cisco 1841 우리 장터에 나왔는데요 http://2cpu.co.kr/sell/211974?&sfl=wr_subject&stx=1841&sop=and 1대 남았네요 cisco 1841 우리 장터에 나왔는데요 http://2cpu.co.kr/sell/211974?&sfl=wr_subject&stx=1841&sop=and 1대 남았네요



Booraltak 2017-04 조사해 봤는데... NAT 성능이 쥐약이네요... 전문 라우터이지 NAT이 잘 지원 되는 공유기 같은 놈은 아닌 거 같습니다. 조사해 봤는데... NAT 성능이 쥐약이네요... 전문 라우터이지 NAT이 잘 지원 되는 공유기 같은 놈은 아닌 거 같습니다.



박문형 2017-04 https://routerboard.com/CCR1072-1G-8Splus 이거 한방이면 끝납니다만 재대로 셋팅하려면 무한한 공부가 필요합니다.. https://routerboard.com/CCR1072-1G-8Splus 이거 한방이면 끝납니다만 재대로 셋팅하려면 무한한 공부가 필요합니다..



Booraltak 2017-04 마지막 문장이 무섭네요. ㅎㅎ 마지막 문장이 무섭네요. ㅎㅎ



ZSNET5 2017-04 알리에서 랜카드 2~4개 붙은 팬리스 PC로 두대 사서 쓰세요.(하나는 예비용..) 비싼거 필요 없습니다. 어지간히 써 봐야 부하량도 실제로 거의 없습니다. 제 경우에는 모처에 4포트짜리 랜카드 + i3 1세대로 구성해 두고, 140노드 정도 붙여 두었는데... CPU로드가 3% 언저리 나옵니다. 알리에서 랜카드 2~4개 붙은 팬리스 PC로 두대 사서 쓰세요.(하나는 예비용..) 비싼거 필요 없습니다. 어지간히 써 봐야 부하량도 실제로 거의 없습니다. 제 경우에는 모처에 4포트짜리 랜카드 + i3 1세대로 구성해 두고, 140노드 정도 붙여 두었는데... CPU로드가 3% 언저리 나옵니다.



Booraltak 2017-04 비슷한 생각입니다만... 국내에 대체품이 있으면 심사에서 반려됩니다.... HP Microserver G1610T가 기가비트 NAT를 충분히 버틸까가 의심이 되어서 글을 올렸습니다. 비슷한 생각입니다만... 국내에 대체품이 있으면 심사에서 반려됩니다.... HP Microserver G1610T가 기가비트 NAT를 충분히 버틸까가 의심이 되어서 글을 올렸습니다.



김진규 2017-04 그냥 ASUS나 NETGEAR 공유기로 가시지요 토렌트 1Gbps도 버팁니다 내부 트래픽은 스위치 따로 두시구요 관리할 인력도 없는데 오픈소스는 비추입니다 그냥 ASUS나 NETGEAR 공유기로 가시지요 토렌트 1Gbps도 버팁니다 내부 트래픽은 스위치 따로 두시구요 관리할 인력도 없는데 오픈소스는 비추입니다



Booraltak 2017-04 아이피타임 최상위 버전 쓰고 있는데 발열이 심해서 쓰로틀링 걸린 게 한두번이 아닙니다. (지금은 팬 달아서 완화되었습니다만 공유기를 최상단에 두고 싶진 않네요. ) 인력 문제는 심각하게 고려해 보도록 하겠습니다. 아이피타임 최상위 버전 쓰고 있는데 발열이 심해서 쓰로틀링 걸린 게 한두번이 아닙니다. (지금은 팬 달아서 완화되었습니다만 공유기를 최상단에 두고 싶진 않네요. ) 인력 문제는 심각하게 고려해 보도록 하겠습니다.



Chrome 2017-04 말씀하신 구성 비슷하게 제가 쓰고 있는데 혹시 내부 트래픽이 얼마나 되나요? 방화벽 뒤로 연결할 장비는 몇 대나 되는지? 말씀하신 구성 비슷하게 제가 쓰고 있는데 혹시 내부 트래픽이 얼마나 되나요? 방화벽 뒤로 연결할 장비는 몇 대나 되는지?



Booraltak 2017-04 내부망은 대충 하루 50기가 정도고... 외부는 들쭉날쭉합니다. 많은 날은 500기가가 넘습니다. 방화벽 뒤로는 대충 20대 정도입니다. (모니터링이 제대로 되지 않습니다. ) 내부망은 대충 하루 50기가 정도고... 외부는 들쭉날쭉합니다. 많은 날은 500기가가 넘습니다. 방화벽 뒤로는 대충 20대 정도입니다. (모니터링이 제대로 되지 않습니다. )



Chrome 2017-04 저 같은 경우에는 E3-1230 (4코어 8스레드)으로 쓰고 있습니다. Booraltak님의 내부망 순간 트래픽이 어느 정도 되는지는 모르겠지만, 내부망->내부망 트래픽의 경우 방화벽 필터링 없이 그냥 브릿지로 거쳐 가시게 세팅하시는 거면 제 경우 10G 듀얼 포트 카드를 연결해서 쓰는데 양쪽 모두 동시 10G 속도 정도는 충분히 나옵니다. 얼핏 모니터링 했던 바로는 1코어 15% 정도의 점유를 보였습니다. 방화벽을 거치지 않으면 거의 PCIe 레인 속도 한계까지 뽑아내실 수 있습니다. 다만 pfSense의 기본값은 브릿지 구성 시 패킷이 브릿지 인터페이스 인입이 아니라 브릿지로 묶인 포트 인터페이스 인입시 필터링(즉 내부망->내부망 트래픽도 방화벽을 거침)되게 되어 있으므로, 설정을 바꿔주실 필요가 있습니다. 다만 방화벽을 거치는 트래픽의 경우 속도가 떨어지는 점은 알고 계셔야 합니다. 이 점은 pfSense 뿐만이 아니라 모든 장비에 적용되고요. 다만 내부망->외부망의 경우에만 필터링한다 가정하면 1Gbps 정도는 씹어먹을 수 있습니다. 또한 멀티코어 관련해서 추가로 정보를 드리자면 pfSense 2.2.x 부터는 방화벽 프로그램(pf)이 멀티스레드를 지원하므로 방화벽이 멀티코어의 혜택을 볼 수 있습니다. 저 같은 경우에는 E3-1230 (4코어 8스레드)으로 쓰고 있습니다. Booraltak님의 내부망 순간 트래픽이 어느 정도 되는지는 모르겠지만, 내부망->내부망 트래픽의 경우 방화벽 필터링 없이 그냥 브릿지로 거쳐 가시게 세팅하시는 거면 제 경우 10G 듀얼 포트 카드를 연결해서 쓰는데 양쪽 모두 동시 10G 속도 정도는 충분히 나옵니다. 얼핏 모니터링 했던 바로는 1코어 15% 정도의 점유를 보였습니다. 방화벽을 거치지 않으면 거의 PCIe 레인 속도 한계까지 뽑아내실 수 있습니다. 다만 pfSense의 기본값은 브릿지 구성 시 패킷이 브릿지 인터페이스 인입이 아니라 브릿지로 묶인 포트 인터페이스 인입시 필터링(즉 내부망->내부망 트래픽도 방화벽을 거침)되게 되어 있으므로, 설정을 바꿔주실 필요가 있습니다. 다만 방화벽을 거치는 트래픽의 경우 속도가 떨어지는 점은 알고 계셔야 합니다. 이 점은 pfSense 뿐만이 아니라 모든 장비에 적용되고요. 다만 내부망->외부망의 경우에만 필터링한다 가정하면 1Gbps 정도는 씹어먹을 수 있습니다. 또한 멀티코어 관련해서 추가로 정보를 드리자면 pfSense 2.2.x 부터는 방화벽 프로그램(pf)이 멀티스레드를 지원하므로 방화벽이 멀티코어의 혜택을 볼 수 있습니다.



Booraltak 2017-04 음... 혹시 셀러론 급의 CPU에서 내-외부망 방화벽 통과시도 1gbps를 뽑아 주려나요...? 음... 혹시 셀러론 급의 CPU에서 내-외부망 방화벽 통과시도 1gbps를 뽑아 주려나요...?



Chrome 2017-04 그건 테스트하지 않아서 잘 모르겠네요. 저는 무조건 ECC 기능 지원하는 걸 기본 베이스로 깔고 하드웨어를 골랐기 때문에... 그건 테스트하지 않아서 잘 모르겠네요. 저는 무조건 ECC 기능 지원하는 걸 기본 베이스로 깔고 하드웨어를 골랐기 때문에...



한여름밤의꿈 2017-04 저희는 금융권과 협업하는 관계로 어쩔수 없이 비싼 CC인증 장비를 쓰고 있지만.. 개인적인 견해로는 미크로틱 추천합니다. 저희는 금융권과 협업하는 관계로 어쩔수 없이 비싼 CC인증 장비를 쓰고 있지만.. 개인적인 견해로는 미크로틱 추천합니다.



Booraltak 2017-04 고려해보겠습니다. ㅎㅎ 고려해보겠습니다. ㅎㅎ



박문형 2017-04 https://routerboard.com/CCR1036-12G-4S-EM 아까 링크는 10G 8포트 라우터 이고 요건 1G 16 포트 짜리입니다.. 왜 무한한 공부가 필요하냐고 했냐면 메뉴얼이 거의 600페이지 급인지라 그리고 네트워크 기초가 없으면 말도 못알아 먹을수 있습니다.. 재대로 셋팅하면 여러가지 룰과 방화벽능력을 넣을수 있습니다.. 그리고 CPU부하가 100%를 넘어가더라도 죽지 않고 돌아갑니다.. https://routerboard.com/CCR1036-12G-4S-EM 아까 링크는 10G 8포트 라우터 이고 요건 1G 16 포트 짜리입니다.. 왜 무한한 공부가 필요하냐고 했냐면 메뉴얼이 거의 600페이지 급인지라 그리고 네트워크 기초가 없으면 말도 못알아 먹을수 있습니다.. 재대로 셋팅하면 여러가지 룰과 방화벽능력을 넣을수 있습니다.. 그리고 CPU부하가 100%를 넘어가더라도 죽지 않고 돌아갑니다..

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

2005/5730

번호	제목Page 2005/5730	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5267361	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5267361 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1792352	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1792352 1 백메가
74520	IBM IntelliStation M pro 케이스 E-ATX지원 되나여 (8)	알파고	2017-04	5478	1
IBM IntelliStation M pro 케이스 E-ATX… (8) 2017-04 5478 1 알파고
74519	폴더는 용량을 차지하지 않나요? (11)	Win31	2017-04	5009	2
폴더는 용량을 차지하지 않나요? (11) 2017-04 5009 1 Win31
74518	폴더는 용량을 차지하지 않나요? (5)	Win31	2017-04	3336	0
폴더는 용량을 차지하지 않나요? (5) 2017-04 3336 1 Win31
74517	혹시 깊이 약 70cm정도 되는 랙선반은 어떻게 구할 수 있을까요? (4)	pika	2017-04	3390	0
혹시 깊이 약 70cm정도 되는 랙선반은 어… (4) 2017-04 3390 1 pika
74516	NVS450 해상도 질문 (4)	Nikon	2017-04	3367	0
NVS450 해상도 질문 (4) 2017-04 3367 1 Nikon
74515	델 T7500에 nvme ssd 지원할까요?? (6)	창원자게이	2017-04	4441	1
델 T7500에 nvme ssd 지원할까요?? (6) 2017-04 4441 1 창원자게이
74514	[해결완료] z620 에러 좀 문의드립니다. (11)	주황별	2017-04	3889	2
[해결완료] z620 에러 좀 문의드립니다. (11) 2017-04 3889 1 주황별
74513	6학년 아이용 mp3 플레이어 (15)	나파이강승훈	2017-04	3657	0
6학년 아이용 mp3 플레이어 (15) 2017-04 3657 1 나파이강승훈
74512	lsi 9265 레이드카드 펌웨어 업글할려고하는데요	행복하세	2017-04	3280	0
lsi 9265 레이드카드 펌웨어 업글할려고하… 2017-04 3280 1 행복하세
74511	욕실세면대밑에 온/냉수 호스를 Y 로 만들어서 수전(수도꼭지)와 샤워기를 하나 더 … (5)	김건우	2017-04	8739	0
욕실세면대밑에 온/냉수 호스를 Y 로 만들… (5) 2017-04 8739 1 김건우
74510	해외에서 구매한 제품 때문에 문의할 게 있습니다. (8)	momoko	2017-04	4219	0
해외에서 구매한 제품 때문에 문의할 게 … (8) 2017-04 4219 1 momoko
74509	갤럭시 s6에서 갤럭시s7로 바꾸면 업그레이드한 체감이 느껴질까요? (6)	이유종	2017-04	3467	1
갤럭시 s6에서 갤럭시s7로 바꾸면 업그레… (6) 2017-04 3467 1 이유종
74508	[비컴][질문] 근로기준 관련해서 자문을 구하고 싶습니다. (5)	굴다리교	2017-04	3796	0
[비컴][질문] 근로기준 관련해서 자문을 … (5) 2017-04 3796 1 굴다리교
74507	이거 뭘로 검색해야하죠? (10)	AKMU	2017-04	3691	0
이거 뭘로 검색해야하죠? (10) 2017-04 3691 1 AKMU
74506	[도움요청]보드 전원넣어도 무응답 (17)	comduck	2017-04	4149	0
[도움요청]보드 전원넣어도 무응답 (17) 2017-04 4149 1 comduck
74505	이베이 개인거래 질문 (7)	쌍cpu	2017-04	3767	0
이베이 개인거래 질문 (7) 2017-04 3767 1 쌍cpu
74504	이베이 개인거래 질문 (3)	SkyBase	2017-04	3342	2
이베이 개인거래 질문 (3) 2017-04 3342 1 SkyBase
74503	각종 클라우드 서버는 어떻게 관리할까요??? (2)	sensekuh	2017-04	3379	0
각종 클라우드 서버는 어떻게 관리할까요?… (2) 2017-04 3379 1 sensekuh
74502	외장SAS HBA카드에 내장 Sata하드 사용가능 한가요? (7)	박세진	2017-04	4546	0
외장SAS HBA카드에 내장 Sata하드 사용가… (7) 2017-04 4546 1 박세진
74501	2683v3 vs 라이젠1700 (2)	갓영구	2017-04	4171	0
2683v3 vs 라이젠1700 (2) 2017-04 4171 1 갓영구