프로젝트를 위해 Netgate 1100을 구매하려고 생각 중입니다. Ubiquiti 방화벽 뒤에 VPN 사용자를 두고 하나의 서브넷에 대한 접속을 허용하려고 합니다. 또한 VPN 사용자가 내부에서 Netgate를 포함한 게이트웨이 어떤 것도 접속하지 않도록 하고 싶습니다. Ubiquiti는 VPN 사용자를 위한 이 마지막 부분은 처리할 수 없지만, 이미 네트워크에 있는 WAN 네트워크에 대한 방화벽 규칙을 만들 수 있습니다. VPN 사용자들을 위해 설치할 수 있는 pfSense/Netgate 클라이언트가 있다면, 1100이 이 역할을 잘 해낼 수 있나요?
먼저, UI의 방화벽 규칙이 그 트래픽을 차단하도록 허용하지 않을까 기대할 수 있는데, 그 부분을 다시 한 번 확인하세요.
pfSense의 경우, 사용자가 접근하거나 접근하지 않길 원하는 경로에 대해 명확히 방화벽 규칙을 설정할 수 있습니다. 최초로 일치하는 규칙이 적용됩니다. 예를 들어, 두 개의 규칙이 있다면:
- VPN이 192.168.1.1의 포트 80, 443 또는 22에 접근하지 못함 (이것이 예를 들어 당신의 게이트웨이라고 가정)
- VPN이 192.168.1.0/24 전체 서브넷에 접근 가능
이 두 규칙이 순서대로 적용되면, 192.168.1.1의 관리 포트 접근이 차단되지만, 서브넷 내 다른 곳으로의 트래픽, 그리고 192.168.1.1의 다른 포트에 대한 접근은 허용됩니다. 원한다면 모든 경로를 완전히 차단하는 것도 가능하죠.
요약하면, 네, pfSense는 이 작업을 수행할 수 있습니다.
이것을 수행하는 방법은 여러 가지가 있습니다. Netgate를 사용할 수도 있고, VPN만 위해 Netgate 기기를 구한다면, Ubiquiti 방화벽을 완전히 교체하는 것도 방법입니다.
또는 Raspberry Pi에 Wireguard를 설치하고 iptables로 막는 방법도 있고,
혹은 박스(예: Pi 또는 VM)에 Tailscale 서브넷 라우터를 설치하고 그들의 ACL로 어떤 마법을 부릴 수도 있습니다.