Skip to content

monowall 테스트 2부

Services
1. DNS forwarder
방화벽 내부의 서버가 외부 DNS를 이용할수 있게 해주는 페이지 입니다.
테스트 장비에는
qns1.hananet.net 210.220.163.82
qns2.hananet.net 210.94.6.67을 설정 하였습니다.

만약 DHCP서비스를 사용할 경우 DNS값을 설정하지 않아도 자동적으로 DNS값을 할당 받습니다.

2.Dynamic DNS
유동아이피에서 DNS서비스를 이용할수 있게 해주는 업체를 통해 DNS서비스를 받을경우 설정하는 페이지입니다.
외국에서는 꽤 쓰는 사람이 많은듯합니다.
우리 서비스에 적용사항없습니다.

3.DHCP server
DHCP 서버를 방화벽에서 설정할수 있습니다.
DHCP는 LAN포트 에만 설정가능합니다.
역시 우리 서비스에 적용 사항없습니다.

4.SNMP
SNMP를 지원합니다.
MRTG같은 프로그램을 이용하여 보안장비 상태를 체크할수 있습니다.
모니터링 페이지에서 이미 관련 정보는 모두 확인 할수 있기때문에 활용도는 떨어지지만 여러대의 보안 장비를 일괄적으로 모니터링 하기에 편리한 기능입니다.

5.Proxy ARP
프럭시 ARP 기술은 하나의 호스트(주로 라우터)가 또다른 컴퓨터의 ARP 요청에 응답하기 위한 기술입니다. 라우터는 자신의 정체를 숨김으로써, 패킷을 실제 목적지로 라우팅하기 위한 책임을 받아들입니다. 프럭시 ARP는 두 개의 물리적인 네트웍을 가지고 있는 사이트가 하나의 IP 주소를 사용할 수 있도록 허용합니다. 그러나 이를 위해서는 서브넷이 좀더 좋은 해결방안으로 간주되고 있습니다.
실제 1:1이나 복잡한 구조의 outbound에 필요하다고 하지만 특별히 우리 서비스에 필요할지 모르겠습니다.
이 부분은 좀더 다양한 테스트후에 정리 하겠습니다.

  1. Captive Portal
    서비스가 시작되기 전에 사용자들에게 특별한 페이지를 보여주기 위한 설정 메뉴입니다.
    예를 들어 공사중 페이지를 업로드 하여 공사중 페이지를 표시할수 있으며 접속 제한 시간이나 접속 허용 IP를 등록할수 있습니다.
    프로잭트중인 서버나 리뉴얼중인 서버에 설정하여 사용할수 있을것으로 생각됩니다.

  2. Wake on LAN
    LAN인터페이스를 사용할 경우 원격에서 서버를 켤 수(power on) 있습니다.
    이것은 실제 서버가 다운됐을경우 원격으로 작업할수 있다는 것이기 때문에 상당히 유용할 것으로 생각됩니다.
    이 설정을 사용하기 위해서는 방화벽에서 LAN에 물려있는 서버의 MAC Address와 서버의 BIOS설정에서 wake up on LAN옵션이 enable되어 있어야 합니다.

VPN
전화선은 물론 모바일 모드도 지원 합니다.
필요 하다면 테스트후 정리 하겠습니다.

Diagnostics
방화벽 장비의 로그나
DHCP 할당 정보
IPsec이나 현재 셋팅값을 저장 / 복원 할수 있습니다.(xml이용)
현재 셋팅 정보를 첨부 하였습니다.

다음 장에서는 실제 방화벽 적용후 여러가지 상황 테스트 자료를
정리하겠습니다.

현재 방화벽의 아이피는 218.154.49.97이며
모니터링 페이지 접속은
https://218.154.49.97:10080으로 접속 할수 있으며
관리자 아이디는 xxxx
패스워드는 xxxx입니다.
https://218.154.49.97:10080/status.php 에서 현재 상황을 확인 할수 있습니다.

내부 내트웍으로 리눅스 웹서버가 있으며 (DMZ영역 218.154.49.98 사용)
192.168.2.3에서 218.154.49.98번으로 IP변경(실제 서버호스팅에 쓰일경우 공인 아이피로 셋팅되어 있을것으로 예상)하였습니다.

모니터링을 위해 LAN영역으로 192.168.1.3(개인 PC)으로 모니터링 하고 있습니다.

내부의 리눅스 서버는 페도라 코어3로 셋팅되어 있습니다.
현재 까지의 문제점으로는 방화벽 사용시 리눅스 서버에서 FTP전송시에 Passive모드를 쓸수 없다는 것 입니다.(가능한 설정값을 계속 적용중)

Published inLinux