안녕하세요 ^^
우분투20.04를 이용하여 방화벽을 만들려고 합니다
환경은 esxi6.7 환경이구요.
우분투에는 nic2개를 주고, 두개의 nic을 브릿지로 묶은 뒤에 ufw(iptables)를 통해 패킷을 제어하고자 했는데,,
패킷은 잘 흐르는데, 막히지가 않네요;
구글링 해보니, 브릿지로 만든 방화벽은 forward체인을 탄다고 하는데, drop룰을 걸어도 핑, ssh접속 등 잘 됩니다 ㅠ
브릿지는 netplan 혹은 brctl을 통해 걸어봤습니더.
Àú·±°Å Á÷Á¢ ±¸ÃàÇÒ·Á¸é ½ÉÇϸé Ä¿³Î ¿É¼Ç º¯°æ¹× ÄÄÆÄÀϱîÁö ´Ù ÇÏ´Â »ðÁúÀÌ µû¶ó´Ù´Ï°í, ¹®Á¦ ¹ß»ý½Ã ÀÚÀÛÇÑ°Ç Á¤º¸ ã±âµµ ¾î·Á¿ö¿ä
´Ù¸¥ ¹æȺ®µéÀº ±ÔÄ¢µéÀÌ 1¼øÀ§ 2¼øÀ§ 3¼øÀ§ ÀÌ·±°Ô Á¸ÀçÇÏ´Â ÀÌÀ¯°¡ ÀÖ½À´Ï´Ù.
¸®´ª½º °è¿ÀÇ ¹æȺ®Àº NAT±ÔÄ¢ÀÌ µé¾î°£ Æ÷Æ®¿¡ ¹æȺ® Â÷´Ü ±ÔÄ¢À» ³Ö°í ½ÍÀ¸¸é º°µµ·Î NAT ºí·¢È¦À» ¸¸µé¾î¾ß µË´Ï´Ù.
¹æȺ® ¿ëµµ°¡ ¾Æ´Õ´Ï´Ù.
¹æȺ® ¿ëµµ¶ó¸é pfsense
³×Æ®¿öÅ© ¶ó¿ìÆà ¹× °øÀ¯±â ¿ëµµ¶ó¸é openwrt
À§¿Í °°ÀÌ ¿ø·¡ ±â´É¿¡ ¸Â´Â ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇϼ¼¿ä.
ÀÌ·± ±¸Á¶·Î ¸¸µé¾î µÎ°í bridge ¹æȺ®¿¡¼ ÆÐŶ ÄÁÆ®·ÑÀ» ÇÏ°í ½Í´Ù´Â °ÍÀÌÁÒ?
¹°¸®ÀûÀ¸·Î ±¸¼ºÇßÀ»¶§´Â Àß µ¿ÀÛÇÒÅÙµ¥ esxi ·Î ±¸¼ºÇϼÌÀ»¶§´Â vswtich¼³Á¤¿¡¼ promisc mode ¸¦ enable ÇØÁà¾ß bridge °¡ µ¿ÀÛÇÒ °Ì´Ï´Ù.
¾Æ·¡Ã³·³ µð¹ö±ë Çغ¸½Ã±â ¹Ù¶ø´Ï´Ù.
1. ºê¸´Áö ¹æȺ®¿¡¼ tcpdump·Î ÆÐŶ ´ýÇÁÇؼ ÆÐŶÀÌ Àß È帣´ÂÁö È®ÀÎ
2. ºê¸´Áö ¹æȺ® Ä¿³Î ¼³Á¤ÀÌ ip.forward=1·Î µÇ¾î ÀÖ´ÂÁö È®ÀÎ(cat /proc/sys/net/ipv4/ip_forward)
3. esxi vswitch¿¡¼ promisc mode enable µÇ¾î ÀÖ´ÂÁö È®ÀÎ
bridge ÀÎÅÍÆäÀ̽º »óŵµ Çѹø ¿Ã·ÁÁÖ¼¼¿ä.