OpenBSD를 Bridge 방화벽으로 돌려보자.
우선 랜카드는 아래와 같이 3장이 있다고 가정한다.
fxp0 : 공인주소용 (125.1.1.1, NM:255.255.255.0) <--> Router(125.1.1.254)
fxp1 : 사설네트워크용 (192.168.0.254, NM:255.255.255.0) <--> 사설네트워크용 Switch
fxp2 : DMZ 네트워크용 (100.100.100.100, NM:255.255.255.255) <--> DMZ네트워크용 Switch
위에서 보면 DMZ네트워크가 공인네트워크와 동일한 것을 볼 수 있다.
보통 DMZ는 사설네트워크로 구성하여 1:1 NAT 또는 Redirect NAT를 사용하는 것이
보통이나 우리는 Bridge의 장점을 최대한 살려서 DMZ네트워크 설정을
방화벽이 없는 듯 투명하게 설정한다.
위와 같이 하면 DMZ 네트워크에 있는 서버들은 게이트웨이를 125.1.1.254(Router)로
설정한다. 만일 장비가 bypass 지원되는 장비라면 방화벽이 죽거나
다운 되더라도 DMZ네트워크의 서버들은 bypass에 의해 Router와 바로 연결되어
죽지않고 계속 돌아간다. 물론, 이 상황이 되면 방화벽의 보호는 받을 수 없다.
100.100.100.100/32 는 의미없는 주소이다. bridge가 제대로 동작하려면
랜카드에 주소가 있어야 되기 때문에 아무 주소나 준 것이다.
우선 위의 랜카드 3장에는 모두 주소가 있어야 한다.
DMZ네트워크용 랜카드 주소는 반드시 공인 주소가 아니어도 상관없다.
아무것이나 주면 된다.
그럼 주소가 셋팅되었다고 가정하고 아래와 같이 Bridge를 설정한다.
# brconfig bridge0 add fxp0 add fxp1 add fxp2 up
이렇게 하면 fxp0,1,2가 모두 하나의 스위치처럼 동작한다.
서로서로 ping 테스트를 해보면 잘 나갈 것이다. 그러면서
사설네트워크는 pfctl로 NAT를 설정하여 사설네트워크들이
인터넷을 사용할 수 있게 한다.
DMZ네트워크는 공인주소이기 때문에 NAT를 설정할 필요는 없다.
Bridge 방화벽은 보통 랜카드에 주소가 없는것이 보통이나
주소를 주면 더욱 유연하게 사용할 수 있다.
보안설정은 Bridge를 의식하지 말고 늘 하던대로 하면 된다.
어디서 어디로 가는 패킷은 차단하고 어디서 어디로 가는 패킷은 허용하고...
스위치처럼 동작하지만 pfctl 보안설정은 모두 설정가능하다.