웹사이트 검색

pfSense 2.4.4 방화벽 라우터 설치 및 구성

요즘 인터넷이 무서운 곳이에요. 거의 매일 새로운 제로데이, 보안 위반 또는 랜섬웨어가 발생하여 많은 사람들이 시스템을 보호하는 것이 가능한지 궁금해합니다.

많은 조직에서는 인프라와 데이터를 보호하기 위해 최신의 최고의 보안 솔루션을 설치하는 데 수백만 달러는 아니더라도 수십만 달러를 소비합니다. 하지만 일반 사용자는 금전적으로 불리한 입장에 있습니다. 전용 방화벽에 100달러를 투자하는 것은 대부분의 홈 네트워크 범위를 벗어나는 경우가 많습니다.

다행히 오픈 소스 커뮤니티에는 가정용 사용자 보안 솔루션 분야에서 큰 진전을 이루고 있는 전용 프로젝트가 있습니다. IPfire, Snort, Squid 및 pfSense와 같은 프로젝트는 모두 기업 수준의 보안을 상품 가격으로 제공합니다!

PfSense는 FreeBSD 기반 오픈 소스 방화벽 솔루션입니다. 배포판은 자신의 장비에 무료로 설치할 수 있으며, pfSense 뒤의 회사인 NetGate에서 사전 구성된 방화벽 장비를 판매합니다.

pfSense에 필요한 하드웨어는 매우 적으며 일반적으로 오래된 홈 타워를 전용 pfSense 방화벽으로 쉽게 재사용할 수 있습니다. pfSense의 고급 기능을 더 많이 실행하기 위해 보다 유능한 시스템을 구축하거나 구매하려는 사람들을 위해 권장되는 몇 가지 하드웨어 최소 사양이 있습니다.

하드웨어 최소

  • 500MHz CPU
  • 1GB RAM
  • 4GB의 저장 공간
  • 네트워크 인터페이스 카드 2개

권장 하드웨어

  • 1GHz CPU
  • 1GB RAM
  • 4GB의 저장 공간
  • 2개 이상의 PCI-e 네트워크 인터페이스 카드.

심각한 홈 사용자 하드웨어 제안(및 기업)

가정 사용자가 Snort, 안티바이러스 검사, DNS 블랙리스트, 웹 콘텐츠 필터링과 같은 pfSense의 다양한 추가 기능을 활성화하려는 경우, 등 권장 하드웨어가 좀 더 복잡해집니다.

pfSense 방화벽에서 추가 소프트웨어 패키지를 지원하려면 pfSense에 다음 하드웨어를 제공하는 것이 좋습니다.

  • 최소 2.0GHz를 실행하는 최신 멀티 코어 CPU
  • 4GB 이상의 RAM
  • 10GB 이상의 HD 공간
  • 2개 이상의 Intel PCI-e 네트워크 인터페이스 카드

pfSense 2.4.4 설치

이 섹션에서는 pfSense 2.4.4(이 기사를 작성하는 시점의 최신 버전) 설치를 살펴보겠습니다.

실험실 설정

pfSense는 방화벽을 처음 접하는 사용자에게 종종 좌절감을 줍니다. 많은 방화벽의 기본 동작은 좋든 나쁘든 모든 것을 차단하는 것입니다. 이는 보안 관점에서는 훌륭하지만 유용성 관점에서는 그렇지 않습니다. 설치를 시작하기 전에 구성을 시작하기 전에 최종 목표를 개념화하는 것이 중요합니다.

pfSense 다운로드 중

어떤 하드웨어를 선택하든 관계없이 하드웨어에 pfSense를 설치하는 과정은 간단하지만 사용자는 어떤 네트워크 인터페이스 포트가 어떤 목적(LAN, WAN, 무선 등)으로 사용될 것인지 세심한 주의를 기울여야 합니다.

설치 프로세스의 일부에는 사용자에게 LAN 및 WAN 인터페이스 구성을 시작하라는 메시지가 표시됩니다. 저자는 pfSense가 구성될 때까지 WAN 인터페이스만 연결한 다음 LAN 인터페이스를 연결하여 설치를 완료할 것을 제안합니다.

첫 번째 단계는 https://www.pfsense.org/download/에서 pfSense 소프트웨어를 얻는 것입니다. 기기 및 설치 방법에 따라 몇 가지 다른 옵션을 사용할 수 있지만 이 가이드에서는 'AMD64 CD(ISO) 설치 프로그램'을 활용합니다.

이전에 제공된 링크의 드롭다운 메뉴를 사용하여 적절한 미러를 선택하여 파일을 다운로드합니다.

설치 프로그램을 다운로드한 후에는 CD에 굽거나 대부분의 Linux 배포판에 포함된 'dd' 도구를 사용하여 USB 드라이브에 복사할 수 있습니다.

다음 프로세스는 ISO를 USB 드라이브에 기록하여 설치 프로그램을 부팅하는 것입니다. 이를 수행하려면 Linux 내에서 'dd' 도구를 사용하세요. 먼저 디스크 이름은 'lsblk'로 찾아야 합니다.


lsblk

USB 드라이브 이름이 '/dev/sdc'로 결정되면 'dd' 도구를 사용하여 pfSense ISO를 드라이브에 쓸 수 있습니다.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

중요: 위 명령에는 루트 권한이 필요하므로 'sudo'를 활용하거나 루트 사용자로 로그인하여 명령을 실행하세요. 또한 이 명령은 USB 드라이브의 모든 항목을 제거합니다. 필요한 데이터는 반드시 백업해 두세요.

pfSense 설치

'dd'가 USB 드라이브에 쓰기를 마쳤거나 CD가 구워지면 pfSense 방화벽으로 설정될 컴퓨터에 미디어를 넣습니다. 해당 컴퓨터를 해당 미디어로 부팅하면 다음 화면이 표시됩니다.

이 화면에서 타이머가 끝나도록 허용하거나 1을 선택하여 설치 프로그램 환경으로 부팅을 진행합니다. 설치 프로그램 부팅이 완료되면 시스템은 키보드 레이아웃에서 원하는 변경 사항을 묻는 메시지를 표시합니다. 모든 것이 모국어로 표시되면 '이 설정 수락'을 클릭하기만 하면 됩니다.

다음 화면에서는 사용자에게 '빠른/쉬운 설치' 옵션 또는 고급 설치 옵션을 제공합니다. 이 가이드의 목적에 따라 '빠른/쉬운 설치' 옵션을 사용하는 것이 좋습니다.

다음 화면에서는 사용자가 설치 중에 많은 질문을 하지 않는 '빠른/쉬운 설치' 방법을 사용하기를 원하는지 확인합니다.

제시될 가능성이 있는 첫 번째 질문은 어떤 커널을 설치할 것인지 묻는 것입니다. 다시 한번 말하지만, 대부분의 사용자에게는 '표준 커널'을 설치하는 것이 좋습니다.

설치 프로그램이 이 단계를 완료하면 재부팅하라는 메시지가 표시됩니다. 머신이 설치 프로그램으로 다시 부팅되지 않도록 설치 미디어도 제거하십시오.

pfSense 구성

재부팅 후 CD/USB 미디어를 제거하면 pfSense가 새로 설치된 운영 체제로 재부팅됩니다. 기본적으로 pfSense는 DHCP를 사용하여 WAN 인터페이스로 설정할 인터페이스를 선택하고 LAN 인터페이스는 구성되지 않은 상태로 둡니다.

pfSense에는 웹 기반 그래픽 구성 시스템이 있지만 방화벽의 LAN 측에서만 실행되지만 현재 LAN 측은 구성 해제됩니다. 가장 먼저 해야 할 일은 LAN 인터페이스에 IP 주소를 설정하는 것입니다.

이렇게 하려면 다음 단계를 따르세요.

  • VLAN에 대해 묻는 메시지가 나타나면 'n'을 입력하고 'Enter' 키를 누르세요.
  • WAN 인터페이스를 묻는 메시지가 나타나면 1단계에서 기록한 인터페이스 이름을 입력하거나 지금 적절한 인터페이스로 변경합니다. 이 예에서도 'em0'은 인터넷에 연결되는 인터페이스이므로 WAN 인터페이스입니다.
  • 다음 프롬프트에서는 LAN 인터페이스를 묻는 메시지가 표시됩니다. 적절한 인터페이스 이름을 다시 입력하고 'Enter' 키를 누르세요. 이 설치에서는 'em1'이 LAN 인터페이스입니다.
  • pfSense는 사용 가능한 경우 더 많은 인터페이스를 계속 요청하지만 모든 인터페이스가 할당된 경우 'Enter' 키를 다시 누르기만 하면 됩니다.
  • 이제 pfSense는 인터페이스가 올바르게 할당되었는지 확인하라는 메시지를 표시합니다.

  • 인터페이스가 올바른 경우 'y'를 입력하고 'Enter' 키를 누르세요.


    • 다음 단계는 인터페이스에 적절한 IP 구성을 할당하는 것입니다. pfSense가 메인 화면으로 돌아온 후 '2'를 입력하고 'Enter' 키를 누르세요. (WAN 및 LAN 인터페이스에 할당된 인터페이스 이름을 추적하십시오).

    *참고* 이 설치의 경우 WAN 인터페이스는 문제 없이 DHCP를 사용할 수 있지만 고정 주소가 필요한 경우가 있을 수 있습니다. WAN에서 정적 인터페이스를 구성하는 프로세스는 구성하려는 LAN 인터페이스와 동일합니다.

    IP 정보를 설정할 인터페이스를 묻는 메시지가 나타나면 '2'를 다시 입력합니다. 다시 2는 이 연습에서 LAN 인터페이스입니다.

    메시지가 나타나면 이 인터페이스에 원하는 IPv4 주소를 입력하고 'Enter' 키를 누르세요. 이 주소는 네트워크의 다른 곳에서는 사용되어서는 안 되며 이 인터페이스에 연결될 호스트의 기본 게이트웨이가 될 가능성이 높습니다.

    다음 프롬프트에서는 접두사 마스크 형식으로 알려진 서브넷 마스크를 요청합니다. 이 예시 네트워크에서는 간단한 /24 또는 255.255.255.0이 사용됩니다. 완료되면 'Enter' 키를 누르세요.

    다음 질문은 '업스트림 IPv4 게이트웨이'에 대해 묻습니다. 현재 LAN 인터페이스가 구성되어 있으므로 'Enter' 키를 누르기만 하면 됩니다.

    다음 프롬프트에서는 LAN 인터페이스에서 IPv6을 구성하라는 메시지가 표시됩니다. 이 가이드에서는 단순히 IPv4를 사용하고 있지만 환경에 IPv6가 필요한 경우 지금 구성할 수 있습니다. 그렇지 않으면 'Enter' 키만 누르면 계속됩니다.

    다음 질문은 LAN 인터페이스에서 DHCP 서버를 시작하는 방법에 대해 묻습니다. 대부분의 개인 사용자는 이 기능을 활성화해야 합니다. 이번에도 환경에 따라 조정이 필요할 수 있습니다.

    이 가이드에서는 사용자가 방화벽이 DHCP 서비스를 제공하기를 원하고 pfSense 장치에서 IP 주소를 얻기 위해 다른 컴퓨터에 51개의 주소를 할당한다고 가정합니다.

    다음 질문은 pfSense의 웹 도구를 HTTP 프로토콜로 되돌리라는 질문입니다. HTTPS 프로토콜은 웹 구성 도구의 관리자 비밀번호 공개를 방지하기 위해 일정 수준의 보안을 제공하므로 이 작업을 수행하지 않는 것이 좋습니다.

    사용자가 'Enter'를 누르면 pfSense는 인터페이스 변경 사항을 저장하고 LAN 인터페이스에서 DHCP 서비스를 시작합니다.

    pfSense는 방화벽 장치의 LAN 측에 연결된 컴퓨터를 통해 웹 구성 도구에 액세스할 수 있는 웹 주소를 제공합니다. 이것으로 방화벽 장치를 더 많은 구성과 규칙에 맞게 준비하기 위한 기본 구성 단계가 끝났습니다.

    웹 인터페이스는 LAN 인터페이스의 IP 주소로 이동하여 웹 브라우저를 통해 액세스됩니다.

    이 글을 쓰는 시점에서 pfSense의 기본 정보는 다음과 같습니다.

    
Username: admin
Password: pfsense

    처음으로 웹 인터페이스를 통해 로그인에 성공한 후 pfSense는 초기 설정을 실행하여 관리자 비밀번호를 재설정합니다.

    첫 번째 메시지는 자동 구성 백업, pfSense 교육 자료에 대한 액세스, pfSense 개발자와의 정기적인 가상 회의 등의 혜택을 제공하는 pfSense 골드 구독에 등록하라는 것입니다. 골드 구독을 구매할 필요는 없으며 원하는 경우 단계를 건너뛸 수 있습니다.

    다음 단계에서는 사용자에게 호스트 이름, 도메인 이름(해당하는 경우) 및 DNS 서버와 같은 방화벽에 대한 추가 구성 정보를 묻는 메시지를 표시합니다.

    다음 메시지는 네트워크 시간 프로토콜, NTP를 구성하라는 것입니다. 다른 시간 서버를 원하지 않는 한 기본 옵션을 그대로 둘 수 있습니다.

    NTP를 설정한 후 pfSense 설치 마법사는 사용자에게 WAN 인터페이스를 구성하라는 메시지를 표시합니다. pfSense는 WAN 인터페이스 구성을 위한 다양한 방법을 지원합니다.

    대부분의 가정 사용자에 대한 기본값은 DHCP를 사용하는 것입니다. 사용자의 인터넷 서비스 제공업체가 제공하는 DHCP는 필요한 IP 구성을 얻는 가장 일반적인 방법입니다.

    다음 단계에서는 LAN 인터페이스 구성을 묻는 메시지가 표시됩니다. 사용자가 웹 인터페이스에 연결된 경우 LAN 인터페이스가 이미 구성되었을 수 있습니다.

    그러나 LAN 인터페이스를 변경해야 하는 경우 이 단계를 통해 변경할 수 있습니다. LAN IP 주소가 어떻게 설정되어 있는지 기억해 두십시오.
    관리자가 웹 인터페이스에 액세스하게 됩니다!

    보안 세계의 모든 것과 마찬가지로 기본 비밀번호는 극도의 보안 위험을 나타냅니다. 다음 페이지에서는 관리자에게 'admin' 사용자의 기본 비밀번호를 pfSense 웹 인터페이스로 변경하라는 메시지가 표시됩니다.

    마지막 단계에는 새 구성으로 pfSense를 다시 시작하는 작업이 포함됩니다. '새로고침' 버튼을 클릭하기만 하면 됩니다.

    pfSense가 다시 로드되면 전체 웹 인터페이스에 로그인하기 전에 사용자에게 최종 화면이 표시됩니다. 두 번째 '여기를 클릭하세요'를 클릭하면 전체 웹 인터페이스에 로그인할 수 있습니다.

    마침내 pfSense가 실행되어 규칙을 구성할 준비가 되었습니다!

    이제 pfSense가 실행되고 있으므로 관리자는 방화벽을 통해 적절한 트래픽을 허용하는 규칙을 작성해야 합니다. pfSense에는 기본적으로 모든 허용 규칙이 있다는 점에 유의해야 합니다. 보안을 위해 변경해야 하지만 이는 다시 관리자의 결정입니다.

    참고 사항: pfSense 방화벽의 DNS 블랙리스트용 pfBlockerNg 설치 및 구성

    pfSense 설치에 관한 TecMint 기사를 읽어주셔서 감사합니다! pfSense에서 사용할 수 있는 고급 옵션 중 일부를 구성하는 방법에 대한 향후 기사를 계속 지켜봐 주시기 바랍니다.