방화벽 구축 연재 START

왜 벌써 왔냐구요?
벌써 온 이유는 어제 쓴 글을 기점으로 최대한 자주 업데이트 상황이 있을때마다 공유하고 싶어졌어요.
오늘은 왕 고할메가커피 빨고 와서 그런지 잠이 안옵니다,,, 그래서 쓰고 자려고 켰어요.

일단 오늘부터 방화벽 구축기를 진행해볼까 합니다.
방화벽이라니 갑작스러우신가요? 아닐수도 있고
일단 구축한 계기부터 짚고 넘어가보죠.

왜 갑자기 방화벽?

일단 제가 어떤 영상을 보게 되었어요.

고고!포스트잇!(GoGo!Post_IT) 님의 10인치 홈랩 구축기 였습니다.

보다 보니까 중간에 이런게 있더라구요?

'저게 뭐고' 하고 찾아보니까 방화벽용 미니PC로 확인되어서 바로 만능 알리 익스프레스에 검색을 돌렸죠.

찾아보니까 이런게 나오더군요.
이 때, 라우터가 A3004T를 쓰고 있을때라 트래픽을 처리를 못하는 상황이라서 구축을 결심했습니다.

고램가 시대에 직면한 저는 8GB RAM 128GB SSD가 포함된 시스템은 저에게 딱 맞았죠.
아쉽게 RJ45 포트가 2개가 전부인게 조금 걸렸지만 15만원에 저정도면 충분했습니다.

그렇게 저는 구매를 했고 PFsense대신 최신 패치가 진행중인 OPNsense로 선택하게 되었습니다.

근데 너 Proxmox 있잖아

근데 막상 도착하고 나서 생각해보니까 저는 개쩌는 Proxmox가 있더라구요? 멍청이
하지만 "트래픽을 처리하는데 있어서 하드웨어를 분리하는 것이 맞다"는 생각을 하면서 자기합리화를 했어요.

어찌됐든, 방화벽용 미니PC 는 구매했으니까 OPNsense로 설치를 진행했습니다.

OPNsense 설치

내용에 들어가기에 앞서, 마늘김 - OPNsense로 방화벽 구축하기 [1편] 을 참고하여 설치를 진행했습니다.

일단 저는 예전에 학교에서 공부, 보안, 개발까지 잘하는 오각형 인재 남 모씨의 옆에서 고등학교 때 정보보안 실습서버에 방화벽을 구성하는 것을 본 것 말고는 해본 적이 1도 없어요. 사실 남 모씨가 구축 다했음

그래서 처음에 방화벽 구축 블로그를 토대로 설치와 LAN, WAN 인터페이스를 설정해줬어요.

일단, 친절한 남 모씨가 알려줬던 Ventoy USB에 OPNsense 공홈에 들어가서 dvd ISO 파일을 다운 후 넣어줍니다.
이 후에 USB로 부팅해주면 됩니다.

처음 USB로 부팅하면 이렇게 뜨는데, 여기는 그냥 스킵하고 지나가면 됩니다.

그리고 지나가다 보면 이런게 뜨는데, 현재 부팅한게 USB고, Live로 부팅해둔 상태라서 반드시 installer 계정으로 접속해서 진행해줘야 합니다.
비밀번호는 root와 installer 둘다 opnsense 입니다.

installer로 로그인하게 되면,

이런 시퍼런 화면이 절 반겨줍니다. 여기서는 그냥 엔터를 치고 넘어갑니다.

아마 다음 화면에 이런게 뜰건데 여기선 둘중에 하나를 선택해야합니다.

ZFS : 최신형 파일 시스템. RAID 지원하고, 여러 고급 기능이 있는데 무거워서 RAM 8GB 이상만 추천하긴 함.
UFS: 레거시 파일 시스템. 일단 문제생기면 고치기 쉽고 가벼워서 RAM 2GB도 쌉가능.

저는 마침 8GB 라서 바로 그냥 ZFS로 했어요.

그 다음에는 이런게 나오는데 이거는 RAID 설정이라서 저는 SSD가 하나라, 그냥 stripe 로 진행했습니다.
이후에 나오는 건 다 Yes로 진행하면 설치가 진행됩니다.

이제 설치 다 끝나면 이런 화면이 나오는데, 여기서 root 의 패스워드를 설정해줄 수 있어요.
모든게 끝났다면, complete Install을 실행해서 재부팅 되도록 해주면 설치는 끝납니다.

OPNsense 설정 - 인터페이스 잡기

설정 후에 원래는 아마 LAN, WAN이 정상적으로 안 잡혀있을거에요.
저는 지금 모든 설정이 완료된 상태라서 이렇게 나오는 겁니다.

여기서는 일단 WAN이 연결이 되어있다는 전제로 진행해볼게요.

제 장비로 설명해보자면, 친절하게 ETH0과 ETH1을 적어두었더라구요.

ETH0 -> re0
ETH1 -> re1

저의 경우에는 이렇게 번호에 맞게 NIC가 붙어있는 것을 확인했습니다.
저는 re0을 WAN, re1을 LAN 포트로 사용할 것이기 때문에 이렇게 설정해주겠습니다.

저 빨간색 처진 부분이 입력하는 부분이고, 노란색은 엔터, 초록색은 확인만 하면 됩니다.

이렇게 최종적으로 re1 에 LAN, re0 에 WAN을 지정해주었습니다.

OPNsense 설정 - IP 잡아주기

이제 LAN 포트에 자신의 컴퓨터를 꽂고, shell에 나온 LAN의 IP주소로 접속해줍니다.

저의 경우엔 https://192.168.1.1 이라서 이 링크로 브라우저로 접속하면
접속하면 위 같은 마법사 창이 뜰 겁니다. 여기서는 시스템 정보를 입력해주면 됩니다.
저는 Timezone을 서울로 맞춰주고, DNS 서버를 총 3개를 등록해두었습니다.

그리고 반드시 Override DNS를 해제해야 통신사 DNS로 덮어씌워지지 않습니다.

그 다음은 WAN 설정 파트입니다. 여기서는 WAN의 MAC 주소 등을 설정할 수 있습니다.
하단 체크박스는 WAN 인터페이스의 스푸핑 공격 차단 기능이기 때문에 활성화가 필수입니다!

다음은 LAN 설정 파트입니다. 여기서는 LAN의 IP 대역을 설정할수 있습니다.
26.1 버전 부터는 DHCP 서버가 변경되면서 DNSMasq로 DHCP 서버가 사용됩니다.

다음은 Deployment type 이라는 메뉴인데 여기는 그냥 넘어가면 됩니다.

마지막으로 아마 루트 비밀번호 설정을 해주는 걸텐데 웹패널, shell 접속시 필요하니까 잘 기억해둬야 해요.

다음편 예고

이제 이후에는 Wireguard 설정을 진행하고, 최종적으로는 IDS/IPS를 설정하면서 마무리할 듯 해요.
이번에 방화벽 구축하면서 OPNsense가 26.1로 업데이트 되면서 많은 변화가 있었는데 이 부분을 다룰 것 같습니다.

신기하게 국내분들 중에서 이번 버전 구축 블로그가 없더라구요?
그래서 제가 써보려구요 :)

Rmx