PFSense 소프트웨어 방화벽 소개

2014.03.17-놀방매냐-

pfsense 방화벽을 소개 합니다.

소프트웨어 방화벽이라서 자신의 pc에 가상 머신을 설치하고방화벽을 공부 할 수 있습니다.

virtualbox를 GNS3 라는 네트워크시뮬레이션과 연동하면,

내 pc 안에 나만의 작은 네트워크를 구성 할 수 있습니다.

virtualbox에 방화벽을 설치하고 간단한 리뷰 하겠습니다.

해당 프로그램 홈페이지

PFSensehttps://www.pfsense.org/

Virtualboxhttp://www.virtualbox.org/

GNS3http://www.gns3.net/

GNS3 라는 네트워크시뮬레이션에vmware, virtualbox 같은 가상머신을 연동 시킬 수 있습니다.

pfsense가 소프트웨어 방화벽이라서, 가상머신에 올리고, 이걸 GNS3의 네트워크장비와 연결 시키면,

내 pc 안에, 작은 네트워크 환경을 만들수 있습니다.

virtualbox 설치 후 pfsense image을 이용해서 설치 합니다.

추천 메모리는 128M 인데, 메모리 부족으로 부팅 중 먹통이 되는경우가 많아서 1024M 까지 올렸습니다. 좀 안정적입니다.

virtualbox 가상 머신 만들 때 기본 적인 설정 입니다.

하드 크기는 2G 면 충분 합니다. 1G도 문제 없을 것 같습니다.

고정크기를 추천 합니다.+_+

NAT와 NAT네트워크 차이는NAT는 NAT사용하는 게스트들 끼리 해당 NIC으로 네트워크 통신 못하고, NAT네트워크를 사용하면 할 수 있습니다.

기본 설정 후 생성 된머신의 설정으로 들어가서, 네트워크 부분을 설정 합니다. 어댑터1 NAT 추천 합니다.

vmware에서는 게스트의 Nic을 NAT하면 호스트에가상 LAN 카드가 생성 후 ip가 할당 되고, 이 ip는게스트의 게이트웨이가 되어서 호스트에서 게스트로 네트워크 통신이 되는데, virtualbox는 NAT 방식이 달라서 호스트에서 게스트로 네트워크 통신 하려면 호스트 전용 어댑터를 사용 해야 합니다. or 브릿지 어댑터. 대신 virtualbox에선 한 게스트에서 여러개 NAT를 사용할 수 있습니다.

일반드라이버는가상 시뮬레션에서 사용 할LAN카드설정 시 선택 합니다.

NAT도 하고 호스트에서 게스트 접속 하려면, 어댑터를2개 만들어서 1개는 NAT 1개는 호스트 전용 어댑터로만들면 됩니다.

저장소 메뉴에서 pfsense iso 파일을 지정해 줍니다.지정 안 해도 처음에 시작하면 선택하라는 창이 뜹니다.

부팅 후 첫 메뉴, 그냥 둬도 되고 1 누르셔도 됩니다.

i 눌러서 설치 시작 합니다.

기본 설정으로 설치 합니다.

빠르고 쉬운게 좋으면 엔터+_+

방화벽이 이렇게 빨리 설치 되도 되나 싶을 정도로 금방 됩니다.리부팅을 물어 봅니다. 이 때 iso파일을 꺼내 주는게 좋습니다.안 그러면 다시 리부팅 될 때 iso 파일로 부팅이 됩니다.pfsense는 설치 안하고 cd 상태로도 부팅이 됩니다.물리적으로 실제 서버에 이렇게 부팅하면 방화벽 동작 중에는안전을 위해서 인지 cdrom이 열리지 않습니다.

재부팅 후 지지지직? 글이 올라간 후 vlans 설정 물어봅니다. 안 할 꺼면 n

WAN에 NIC 할당을 합니다. NIC이 최소 2개 이상 있어야이 부분을 넘길 수 있습니다. 방화벽이니까 WAN, LAN 이렇게 최소 2개는 있어야 하나 봅니다. 위에 보면 NIC 이름 2개가 있습니다.em0, em1 virtualbox 에서 만든 어댑터 1, 2 입니다.(순서대로)

WAN에 em0 할당 LAN에 em1 할당

그리고 Optional 1 interface 할당에서 그냥 엔터 누르면 위에 문장 나오고 y 누르면 할당 끝. (참고, 인터페이스 추가 시 WAN, LAN, OPT1, OPT2~이런식의 이름으로 생성 됩니다.)

설치 후 부팅 완료 후의 콘솔 모습 입니다.여기서 CD 이미지로 부팅이 되었다면 99) 메뉴가 있습니다.99) 번 메뉴는 Hdd로 pfsense 설치를 물어보는 메뉴 입니다.WAN은 DHCP 기본 동작해서 virtualbox의 nat용 내부 ip를 가집니다. LAN은 기본적으로 192.168.1.1이 설정 됩니다.

8번 Shell 메뉴로 들어가면 리눅스 명령어를 사용 할 수 있습니다.ping, traceroute, ifconfig –a, arp –a, ls, pwd, 등등

kt dns로 ping을 날려 봤습니다. nat 적용이 잘 되었네요.

기본적으로 LAN의 같은 네트워크 대역에서 방화벽의 LAN 으로접속은 all permit 상태 입니다. 이제 곧 WEB으로 접속해서 설정을해야 하는데 접속이 잘 안 된다면, pfctl –d 로 pfsense 방화벽을사용 안 함으로 설정 후에 접속 후 rule 추가 해 주시면 되겠습니다.

virtualbox 호스트 전용 ip가 기본적으로 192.168.56.X 라서 방화벽LAN ip를 같은 네트워크로 변경 후에 접속 하겠습니다. 기본 메뉴에서 2번 누르시면 특정 NIC에 ip를 변경 할 수 있습니다. WAN처럼 DHCP가 기본적으로 동작하지 않아서 그렇습니다. WEB접속하면 WAN이외의 인터페이스도 DHCP로 ip 받을 수 있게 설정 할 수있습니다.

ip 설정 후 DHCP server 설정 물어보는데 이건 방화벽을 DHCP 서버로 만드는 부분이라 말단 장비들 고정 ip 로 할당 한다면 n 하시면 되고 HTTP web protocol 문의는 y 해 주시고 web으로 접속 후관리하면 됩니다.

LAN IP 변경 후 호스트에서 게스트(pfsense 방화벽)로 연결 확인

이제 호스트에서 LAN ip를 브라우저에 입력해서 pfsense에 접속합니다.기본 암호는 admin/pfsense 입니다.

첫 접속하면 다음과 같은 메시지와 기본 적인 설정을 권유합니다.

기본 적인 설정이 싫으면 그냥 맨 위 중앙 pf Sense 로고를 클릭해주세요.

그럼 바로 장비 메인 메뉴로 접속이 됩니다.+_+첫 페이지 입니다.Dashboard는 + 아이콘을 눌러서 관리자가 원하는 판넬을배치 시킬 수있습니다.

System 메뉴입니다.

2.0.X 버전에서는 가상 머신에pfsense를설치하면 os업그레이드인 펌웨어와각종 패키지를 설치 할수 있는packages 메뉴자체가 안보였는데, 이번에 2.1버전을 설치했더니 이 부분이나와서 너무좋았습니다.실제 장비와동일하게 작동 합니다.

아까 만든 인터페이스 입니다. virtualbox에서는 gui에서 4개까지장착 가능하고 텍스트에서 수정하면8개까지 NIC을 사용 할수 있습니다.실제 물리 머신에서는 그이상 사용 가능 합니다.vmware는안 해봐서 모르겠습니다.

firewall 메뉴입니다.

알리아스로ip를 그룹화시켜서 적용시킬 수 있고, 1:1NAT 1:N NAT 가능합니다. Rules에서 방화벽정책 추가 삭제 하면 됩니다. 방화벽이니까 Rules 메뉴가 제일중요할 것 같네요.

Services 메뉴입니다.뭐 많습니다. +_+

VPN 메뉴 입니다.

PFsense 2대로 ipsec 테스트 해봤는데 터널링 잘맺어졌습니다.다른 기종 장비하고도 맺어진다고도하네요.openvpn의remote access도 테스트 했는데방화벽 보다윈도우 xp에서 설정하는게 더 많아서…잘 될 것같습니다.+_+;;;

Status 메뉴입니다.장비의 동작상태를 확인할 수 있는메뉴가 모여있습니다.

Help 메뉴입니다. 인터넷이 연결 되어 있어야 도움? 받으실수 있을 것같습니다.

아까 system메뉴에 있던packages 메뉴 입니다. pfblocker라는 국가 차단패키지를 추가 해 보겠습니다.

패키지 추가하면 인터넷에서 바로 설치 합니다.

firewall 메뉴에 설치 한패키지가 추가 됩니다.

여러 나라들이 있고, 여기서 맘에 안드는? 나라들을 클릭해서 차단 시키면 됩니다. 옆에 항목은제가 싫어하는 나라가 아니고....그냥샘플입니다. ‘ㅂ’/

차단 된 국가는 firewall 에등록 됩니다.방화벽 룰은기본적인 ACL룰과 같습니다.위쪽에 존재하는 rule이우선순위 입니다. 아래쪽에서 permit을 해도 차단된 국가 ip에속해 있다면deny 입니다.

상태메뉴에있는 RRD graph 입니다. 탭을 눌러서 골라서볼 수 있습니다. 메인 페이지에 등록해 놓을 수있습니다.

패킷 캡쳐 메뉴 입니다.LAN 인터페이스의 방화벽 LAN ip 로필터해서 보니까 80으로붙은 세션 확인 할 수 있습니다.

알리아스 적용 예제 입니다. skynet으로 아래 4개ip 묶어서 방화벽에 룰 등록 할 수 있습니다. 갑자기 터미네이터가 생각나서…T-1000은액체 터미네이터 입니다…..혹시 궁금?해하실까봐…^^;

대부분의 설정은 변경 할때 save 버튼을 누르고 그후에 apply changes 버튼으로 적용해야 합니다.

룰 등록할 때skynet으로등록 했습니다. 이제 터미네이터는못 들어?옵니다.

pfsense 메인 페이지 입니다. 작년에는 그냥저냥 그랬는데, 2.1 버전 나오고 엄청 좋아졌습니다.+_+잘 나가나 봅니다.

홈페이지에서 다운로드누르시면new install 부분으로 각나라의 미러사이트에서pfsense 설치 파일을 다운로드 할 수있습니다.

뉴욕미러 사이트 입니다.본인의 환경에 맞는 파일을 받아서 사용하면 됩니다.

지난 이미지파일들 입니다.지난 버전 파일은 어떤 미러사이트에는 있고, 어떤 사이트에는 없습니다. live 라는 이름이 있는 파일이 자동 실행 파일 입니다.

펌웨어 메뉴로 osupdate를 할때는 파일을받아서 할 수도 있는데 이때는 설치파일로 업데이트 하는 게아니고, update용 파일이 따로 있습니다. new install 하는메뉴 아래에보시면update 용파일 받을 수있는 미러사이트도 제공합니다.

끝^_^/행복한 하루하루 되세요

2014.03.17-놀방매냐-