pfSense °£·« »ç¿ë±â [Ãß°¡]

   Á¶È¸ 12004   Ãßõ 2    

http://www.2cpu.co.kr/bbs/board.php?bo_table=hardware_2014&wr_id=35701 (600)

일전에 하드웨어 게시판에 올렸던 Firewall Box (링크#1 참조) 를 집에다 설치해서 구동 중입니다.
가정용(이라 하기엔 좀 이것저것 많긴 합니다만)으로 사용하기에 어떤지 간략한 사용기 올립니다.

인터넷 -- 모뎀 -- F/W Box -+- NAS
                                 +- 무선 AP
                                 +- 단자함 내 허브

이렇게 연결되어 있습니다.

단자함 내 허브에서 각 방으로 선이 빠져나오도록 연결되어 있는데...이 허브가 100M 짜리더군요. 헐~
요즘 세상이 어떤 세상인데 100M 짜리가 들어가있는지...쩝...ㅠㅠ
그래서 NAS 쪽으로 가는 선만 따로 빼서 F/W Box 에 직결하였습니다.

기존 구성과 비교하자면...F/W Box 대신 입타임 공유기가 들어가 있었다는 것 빼고는 동일합니다.

여튼...현재 구성은 NAS 위에 3개의 웹서버가 구동 중입니다.
특별히 공개된 서버는 아니고 가족구성원들과 일부 지인들, 그리고 개인적인 용도로 사용되는 웹서버 들입니다.

이전에는 NAS 쪽에 dns 서버도 하나 올라가 있었는데 pfSense 쪽으로 dns 서버를 옮겨서 가상서버 하나가 줄었습니다.

그리하여...pfSense 에는 기본적인 방화벽/NAT 기능 이외에...dhcp 서버, dns 서버, snort, squid3, pfBlockerNG 를 설정했습니다.
dnsever 의 다이나믹 도메인을 사용하고 있어서...ip 업데이트하는 부분을 역시 pfSense 쪽으로 옮겼구요.

squid3 로 reverse proxy 설정해서 도메인 치고 들어오면 알아서 잘 찾아가도록 설정하였습니다.
기존에는 포트포워딩을 사용 중이었습니다. 포트 번호 쓰고 들어오는게 귀찮기도 하고 해서...안그래도 리버스 프록시 하나 올려야하나 고민하던 차였는데 말끔하게 해결되었습니다.
ssl 리버스 프록시가 필요했는데...몇가지 방안을 테스트 해보았었는데 잘 안되어서...이전에는 포트 포워딩으로 일단 사용 중이었습니다.
squid 로 하니 간단하게 해결되네요.

그리고...snort vrt 룰을 가정용으로 유료가입(년간 약 $30) 해서 snort 를 ips 로 설정했습니다.

문제가 한가지 생겼는데 이 ips 때문에...인터넷 (웹 사이트) 속도가 느려지네요.
ips 를 끄면 속도 문제는 전혀 없구요.

고심 끝에 squid3 에 transparent proxy 도 설정을 했습니다.
붙여둔 디스크가 SLC SSD 이긴 하나 저용량에 속도도 느린 녀석이라...
추가로 램드라이브도 설정했습니다. pfSense 에서 램 드라이브 기능을 그냥 제공해주네요.
결국 proxy 에서 cache 되는 내용들은 램드라이브로 올라갑니다.
이렇게 하고 나니 국내 사이트 접속할 때는 아주 쾌적하게 사용이 가능하더군요. 해외사이트는 여전히 좀 느린 감이 있습니다.

테스트 삼아 부하를 걸어주기 위해 토렌트를 5개 정도 동시 다운로드 시켰더니...cpu 사용량이 꽤나 올라가주시는군요.
토렌트 걸어주면 30% 후반대에서 50% 까지 쓰네요. 평균적으로는 40% 초반대에서 움직입니다.
그 외에는 거의 아이들에 가깝고 어쩌다 10% 정도까지 올라갑니다.

F/W Box 자체를 신발장 안에 있는 단자함 안에다 넣어버렸더니 신발장 안이 좀 따뜻하네요. 하하~

이상으로 간략한 사용기를 마치겠습니다.

===================================================
2015.08.19

꺄~~~ snort 를 ips 로 돌리니 어마어마하게 막아버리네요. 웹서핑이 제대로 안됩니다. 하하~
거기다 액티브X 들이 무언가 이상한 통신을 하는지 어지간한건 다 막아버리네요. 액티브X 자체가 막히는건 아니구요. 실행된 이후 통신 패킷이 룰에 걸리면서 서버가 블럭 되어버립니다.
쓰면서 서버 별로 하나씩 풀어주는 중입니다.
웹에서 막히는 룰들은 일정하게 잡혀서 풀어주기가 쉬운데요. 액티브X 들이 걸리는건 이게 무작정 풀기도 애매하네요. 
국내 웹 환경에서 쓰기엔 좀 무리일런지도 모르겠네요. 
NGC 2015-08
ÀÚ¼¼ÇÑ ³»¿ë °¨»çµå¸³´Ï´Ù~
¿°Á¾¿ø 2015-08
ÁÁÀº Á¤º¸±º¿ä.
°¨»çÇÕ´Ï´Ù.
Trust Zone(³»ºÎ)¿¡¼­ ¿ÜºÎ·Î ³ª°¡´Â °Íµµ ƯÁ¤ Port¸¸ ¿­¾î Áֽóª º¸³×¿ä..
     
IPS °¡ src , dst ·Î ±¸ºÐÇؼ­ Â÷´ÜÇϱ⠶§¹®¿¡...³ª°¡´Â ÆÐŶÀº ·ÎÄÃÀÌ src °¡ µÇ°í µé¾î¿À´Â ÆÐŶÀº ·ÎÄÃÀÌ dst °¡ µÇ¾î¼­ Trust, non trust ·Î ±¸ºÐÇØ Ã³¸®ÇϱⰡ ¾Ö¸ÅÇÕ´Ï´Ù.
pfSense ÀÇ default °ªÀº src ¿Í dst ¸¦ ¸ðµÎ Â÷´ÜÇϵµ·Ï ÇÕ´Ï´Ù.
Æ÷Æ®°£¿¡ Àü¼ÛÀ» Ç®·Î °É¾îÁáÀ» ¶§, cpu »ç¿ë·®ÀÌ ¾î´À Á¤µµ µÇ´ÂÁö ¾Ë ¼ö ÀÖÀ»±î¿ä?

¿¹¸¦ µé¾î, NAS¶û ¹«¼±AP °£¿¡ 1gbps ´ë¿ªÆøÀ» °ÅÀÇ Ç®·Î Â÷ÁöÇϵµ·Ï ºÎÇϸ¦ ¸î ºÐ°£ °É¾îÁÖ´Â °æ¿ì¿¡µµ cpu ´Â °ÅÀÇ 10% ´ë¸¦ À¯ÁöÇϳª¿ä?
     
ÀúÈñÁý ¹«¼±AP °¡ 11n ±îÁö¸¸ Áö¿øÇÏ´Â Á¦Ç°Àε¥´Ù ³ëÆ®ºÏµéÀÌ ÁË´Ù 11n ¼¼Æø¶Àúµµ »ç¿ëÇÏÁö ¾Ê±â ¶§¹®¿¡ 1G ´ë¿ªÆøÀÌ ¾È ³ª¿É´Ï´Ù. ;;;
½Ã°£³¯¶§ À¯¼±À¸·Î ¿¬°áÇؼ­ Çѹø Å×½ºÆ®Çغ¸°Ú½À´Ï´Ù.


Á¦¸ñPage 96/105
2015-08   12005   õ¿Üõoo³ë¡¦
2015-08   12454   ȸ¿øK
2015-08   12741   DoubleSH
2015-08   11493   localhost
2015-08   8786   ½É±º
2015-08   8494   Á¶½º¹Ù
2015-08   6288   ÂÞÂÞºÀ
2015-08   9305   HEUo±è¿ë¹Î
2015-07   7283   µ¹¹®ÆÒ
2015-07   8508   ȸ¿øK
2015-07   7222   ȲÀ籤
2015-07   7571   ½É±º
2015-07   6228   »É¶ì
2015-07   8562   »êµ¹
2015-07   7708   µ¹¹®ÆÒ
2015-07   5745   stone92±è°æ¹Î
2015-07   9231   ºüºü¶ó»£
2015-07   6270   ½É±º
2015-07   6375   ȸ¿øK
2015-07   5895   s±èÁ¾È­z