현재 가상환경 구축 및 연결 테스트 중인데 궁금한 점이 있어서 질문 게시판에 올려봅니다!
지금까지 구축한 환경이고 외부랜 > iptime 공유기 (라우터 대용) > Axgate 로 연결되어 있고, 서버PC 2대에 각각 Esxi를 설치하여 trust zone과 dmz zone을 구축한 상태입니다.
ip 대역은 Trust zone 20.0.x.x 대역, DMZ zone은 10.0.x.x 로 두고 보안 정책은 상세하게 설정하기 전에 any any로 모두 열어놓은 상태입니다.
현재 문제가 Trust Zone의 WAS (20.0.50.2) 에서 DMZ Zone 웹서버 (10.0.10.10)으로는 핑이 나가는데
DMZ Zone 웹서버에서 Trust Zone WAS 로 핑이 보내지지 않는 상황이고, 웹서버에서 Trust Zone의 pfSense 까지는 핑이 보내지는 상황입니다.
WAS 에서 웹서버로 핑이 나가는 모습
웹서버에서는 WAS 로 핑이 보내지지 않음.
Trust Zone의 ip 게이트웨이 설정은 위와 같이 해둔 상태이고,
WAN과 WAS 방화벽 룰 설정은 다음과 같이 해둔 상태입니다. WAN 방화벽 룰에서 설정하면서 알아낸 결과는 WAS에서 DMZ의 웹으로 나갈때는 10.0.10.254/24 를 타고 나가는게 맞는거 같은데 반대로 들어올 때는 10.0.10.254/24로 두어도 로그가 찍히지 않는걸로 보아 들어올때 ip는 다른거 같은데 룰을 수정해야 하는지, ip를 어떻게 잡아야 들어올지 막힌 상태입니다ㅜㅜ
룰이 잘못되었거나 고쳐야할 부분, 더 정보가 필요한 부분이 있다면 도와주시면 감사하겠습니다!
현재 상황은 외부랜이 연결되어 있으나 인터넷은 사용하지 않는 환경이며,
외부랜 IP 대역은 172.x.x.x이고, Trust Zone 내부 통신은 pfsense 룰 설정으로 모두 가능한것을 확인하였으며, 윈도우 방화벽은 모두 내려놓은 상태입니다.
2개의 답변이 있습니다.
WAS에서 DMZ로는 ping이 가는데, DMZ에서 WAS로는 ping이 안간다는 내용인것 같은데요.
WAS 서버 자체에서 ping을 막아 뒀거나, WAS 서버 자체 방화벽에서 DMZ에서 오는 연결을 차단하고 있는 게 아닐까요??
WAS에서 ICMP 패킷이 DMZ에 갔다가 DMZ에서 응답한 패킷이 다시 WAS로 돌아 오는 것이 ping 응답이 되겠는데...
DMZ에서 Trust로 any, any 열려 있고, Trust에서 DMZ로 any, any 열려 있는 상태인데...
Trust에서 DMZ로는 연결이되는데, DMZ에서 Trust로 연결이 되지 않는다는건...
네트워크 방화벽 정책의 문제가 아니라 서버 자체 방화벽의 문제이거나 클라이언트 방화벽에 문제가 있기 때문이 아닐까 싶어 보이네요.
axgate 에 보면 인터페이스 설정이 20.0.0.254/24 이면 20.0.0.0 ~ 20.0.0.254 까지 C클래스인데,
그렇게 되면 트러스트존에 DB존, WAS존 여러개 두려면 20.0.0.0/16 로 해야 될것같은데.
철옹그성 | 8달 전
이제 공부를 막 시작하고 환경구축 중이라서 일단 말씀해주신대로 Axgate의 인터페이스 설정을 20.0.0.0/16으로 바꾸려고 하니 오류가 발생하고 적용이 안되어 그대로 두어야만 룰 설정이 가능하고, pfsense에서 lan의 설정을 /16으로 바꿔보려하니 다른 어댑터들이 /24라 적용이 안되는걸 확인했습니다.
혹시 가능하시다면 인터페이스 설정을 /16으로 해야하는 이유를 알려주시면 감사하겠습니다ㅜㅜ
에이스퐝 | 8달 전
일단 위 내용은 무시하시고,
트러스트 존의 pfsense 정책에서 소스와 목적지를 빼고 전부 all 로 방화벽 정책 만들어주세요.
최상단에. 그리고 테스트 한번 해보시기 바랍니다.
그리고 라우팅은 20.0.0.0/16 제외 나머지는 전부 WAN으로 나가게 설정되어 있으신거죠?