[침해대응] 가상 환경 구축 #4 - ACL

현재까지 설정으로는 VLAN으로 대역은 나눴지만 어디든지 통신이 가능한 상태이다. 방화벽의 ACL 룰 설정을 통해 기본적인 통신은 차단하고 필요한 것들만 열도록 하겠다.

 

위 과정은 RFC1918의 Aliases를 만드는 과정이다. RFC1918은 사설 IP 주소의 범위를 약속한거다. 효율적으로 ACL 룰 작성하려고 만들었다. 다음은 ACL 룰 작성으로 넘어가겠다.

 

위쪽 화살표 Add를 누르고 위와 같이 아까 만든 RFC1918 대역의 통신을 차단하는 룰을 작성한다. Log도 체크한다. 저장하게되면 VLAN10 대역에서 RFC1918로 나가는 통신은 불가능하다. 하지만 VLAN10 대역도 RFC1918에 속해있는건 마찬가지로 안에서도 통신이 불가능하다.

출발지, 목적지를 WEB net으로하면 서로 통신이 가능하게 만들수있다.

VLAN10_WEB뿐만 아니라 똑같은 방식으로 나머지도 작성해준다. 참고로 vlan20 설정을 마치면 pfsense 페이지가 끊긴다. VLAN20 대역외에는 모두 block 했기때문에 10.20.1.1로 들어가면 된다. 이제 필요한 서비스들만 허용해주면 되는데,  WEB서버의 http(80) 서비스를 허용해주도록 하자.

목적지를 vlan10으로 하고 포트는 http를 선택해주면 된다. 저장하고 웹서버에 apache나 nginx를 올려 접속해보자. 해당 서버에서 방화벽설정을 해줘야 접속이 가능하므로 OS에 맞게 설정하면 된다. 여기선 CentOS이므로 selinux 비활성화와 firewalld에 http 서비스만 추가해주었다.

추가적으로 NAT 설정까지해서 외부로 개방해보자. 어차피 vlan10 대역의 웹서버는 외부 개방이 되어야하는 서버이다.

 

Firewall - NAT - Port Forward탭에서 Add 버튼을 누르고 위와 같이 설정한다. 목적지 포트 범위에 HTTP를 선택하고, 리다이렉트할 주소를 적는다. 리다이렉트 포트도 HTTP를 선택하고 저장한다.

위 사진은 Interfaces에서 WAN 설정화면이다. 맨 밑으로가서 저 두개를 체크 해제한다. 읽어보면 RFC 1918 관련해서 block 한다는 내용임을 예측할 수 있는데, 방화벽에 보면 관련 ACL룰이 작성되어있는것을 확인할 수 있다. 체크 해제하고 저장하면 ACL룰이 사라지고 외부통신이 될 것이다. 내 컴퓨터에서 pfsense wan아이피로 접속해보자.

 

지금까지 설정은 ESXi를 벗어나서 내 컴퓨터까지만 접속하게된 것이다. 완전 외부로 개방하고싶다면 실제 사용하고있는 공유기에서 포트포워딩을 한번더 해줘야한다.