pfSense ±âº» ±¸Ãà
config-pfSense.localdomain-20201113153120.xml (30.6K), Down : 28, 2020-11
http://www.2cpu.co.kr/QnA/783427?&page=2 (574)
pfSense 구축시 어려워 하시는 분들이 많아서 기본 룰셋을 백업하여 올려 드립니다.
저의 경우는 Hyper-V의 VM으로 pfSense를 구성하였고 전반적인 구축 환경은 다음과 같습니다.
- 윈도우(서버나 PC버전 관계 없음) 설치후 Hyper-V 설치후 가상머신 만들기를 합니다.
본 구성은 내외부망의 분리를 위한 VM 구축 환경이다보니 랜포트가 2개 필요합니다.
Hyper-V의 가상 스위치 관리자에서 외부망(Ext)와 내부망(Int)로 미리 만들어 줍니다.
1. pfSense
https://www.pfsense.org/download/
Version: 2.4.5-p1
Architecture: AMD64 (64-bit)
Installer: CD Image (ISO) Installer
Mirror: New York City, USA
기본 설치시 외부망(Ext)는 hn0 랜카드 선택, 내부망(Int)은 hn1의 랜카드를 선택합니다.
기본 설치시 IP는 WAN DHCP / LAN IP 192.168.1.1 - 참고로 건드리지 않으면 이렇게 자동으로 셋팅됩니다.
예전에는 pfSense-2.3.4 버전을 사용하였으나
이번 테스트를 진행한 버전은 위의 pfSense-2.4.5 버전으로 설치하였고
예전버전에서는 컴픽 변경후 재부팅을 해야만 제대로 돌던 것들이
이제는 정책 업데이트후 적용 만으로도 구동되어서 제일 문제였던 버그는 사라진듯 합니다.
하지만 신규로 나온 버전이라 Hyper-V와의 호환성 테스트는 개개인적으로 조금더 필요할듯 합니다.
기본 Default로 설치후 첨부한 컴픽파일을 Diagnostics / Backup & Restore 의 메뉴로 들어가서 다운받은 파일 선택후 Restore Configuration을 해 줍니다.
2. Hyper-v Guest VM (일명 백도어, 컴터명은 MgMt)
가상머신 설치시 랜카드 두개 모두 할당. 한개는 외부망, 한개는 내부망입니다.
일반 Windows PC 설치해주시면 되고, 이후 원격데스크탑을 기본으로 설정합니다.
내부망 IP는 192.168.1.253 (저는 고정 할당 하였으나 맥값이 다르기에 재셋팅이 필요합니다.)
이 머신은 pfSense(방화벽)가 죽었을때 재부팅등을 위한 백도어 입니다.
전체적인 방화벽 컨트롤과 Hyper-V Host를 접근하는 용도로 사용하시면 됩니다.
이후 RDP 접속이 방화벽을 통하여 정상적으로 되는지 확인을 반듯이 하시고 다음 3번으로 넘어가 주세요.
3. Hyper-v Host
이 머신도 RDP 셋팅을 기본값으로 합니다.
저는 내부망 ip를 192.168.1.252 번으로 셋팅하였습니다.
물리 머신이다보니 기본 랜카드는 2개 이상이였으나 Hyper-V 가상 네트웍 구축후는 추가된 2개의 랜카드가 더 보이게 될것입니다.
위 2번에서 정상적으로 테스트가 모두 되었다면 방화벽을 통하여 접근이 되는지 확인해주세요.
방화벽을 통한 RDP 접속이 확인이 정상적 되었다면 추가된 가상 랜카드 2개중 가상 랜카드인 외부망(Ext) 랜카드를 사용않함으로 바꿔주세요.
현재 방화벽을 통한 내부망(Int)으로 접속되었기에 원격접속이 않끊어지고 붙어 있어야 정상입니다.
pfSense 옵션
현재 제가 설정한 pfSense 추가 패키지는 다음과 같습니다.
1. Snort - IPS/IDS
https://mer1.tistory.com/49
Oinkcode
https://snort.org/users/459342/oinkcodes/459332
2. topng - Packet Monitors
https://www.youtube.com/watch?v=uGN6NYFkrh4
GeoLite2 DB License Key
https://www.maxmind.com/en/accounts/441386/license-key/create
3. Service_Watchdog - Services Monitors for stopped and restarts
필요 프로그램 Addon
기본 컴픽에 위에서 필요한 라이센스키가 모두 들어 있기에 제 백업파일에서 추가적으로 해주어야 되는 부분은
각 VM들의 ip 매칭 작업입니다.
192.168.1.251 (옵션) - 저는 ILO 접속용으로 셋팅한것이라 무시하셔도 됩니다.
192.168.1.252 - HOST (물리 PC)
192.168.1.253 - MgMt (매니지먼트 PC)
위 정보만으로도 충분히 기본 사용은 가능할 것입니다.
기 컴픽 된 내용으로 바탕으로 조금식 자신에 맞게 수정하셔서 사용하시면
쉽게 pfSense를 정복하실수 있을것 같아서 남겨드리며
본 내용은 이번에 질문 올리셨던 위 링크 질문을 바탕으로 한번 미리 구성해 본것입니다.
참고로 제가 틀린 부분이 있을수도 있으므로 이 부분은 너그러히 양해 부탁드립니다....^^
오늘도 즐거운 하루 되세요~~~^^
°¢ vmµéÀÇ ¼ÂÆÃÀÌ ¿Ï·áµÈ ½ÃÁ¡¿¡¼ ¹ÝµíÀÌ ½º³À¼¦À» Âï¾îµÎ¼¼¿ä
ƯÈ÷ MgMt´Â...
´Ù¸¥ ¾Öµéº¸´Ùµµ IPS°¡ µ¹°í À־ ³»¿ÜºÎ¸ÁÀÌ ¸ðµÎ ¿¬°áµÈ ¾ÆÀ̶ó
¹ÙÀÌ·¯½º³ª ·£¼¶ ¸ÔÀ»¼ö ÀÖ½À´Ï´Ù
À̶§´Â ¹Ù·Î ±âÁ¸ Âï¾îµÐ ½º³À¼¦À¸·Î ·Ñ¹é½ÃÄÑÁÖ¸é ³¡ÀÔ´Ï´Ù...^^