EdgeRouter - EdgeRouter에서 게스트 네트워크를 보호하기¶
download at 2017-02-07T01:01:52Z origin
Overview
이 문서는 게스트 VLAN을 인터넷, DNS, DHCP에 접근 중인 동안 다른 LAN에서의 접근을 보호하기 위한 방법에 대하여 서술합니다. step 5 (optional) 에서는 게스트 VLAN을 보호된 LAN의 특정 장비(프린터 등)로 접근을 허용하는 방법에 대하여 서술합니다.
Note: 문서에서 사용한 명령어는 설정 모드에서 사용하였습니다. CLI에 접근하고 "configure" 명령어를 입력하여 설정 모드로 진입하십시오. 설정 사항을 활성화하려면 "commit" 명령어를 입력하고 "save" 명령어를 입력하여 저장 내용을 꼭 업데이트 해야합니다. 설정 모드를 나가서 운용 모드로 돌아가려면 "exit"을 입력하십시오.
Table of Contents
- 룰셋 생성하기
- 기본 액션 설정하기
- 허용 룰 쌩성하기
- 거절(Drop) 룰 생성하기
- 룰셋 생성하기
- 기본 액션 설정하기
- DNS 허용 룰 생성하기
- DHCP 허용 룰 생성하기
Step 1: 네트워크 그룹 만들기
모든 로컬 네트워크 주소의 네트워크 그룹을 생성하는 것은 모든 그룹 내에 있는 로컬 네트워크 주소에서 방화벽 룰을 생성하는 작업을 매우 손쉽게 하도록 합니다. 이 네트워크를 여러분의 환경에 맞추어서 조정하십시오. 예를 들어, 특정 서브넷이 있다면 해당 서브넷에 게스트 네트워크에서의 접근을 허용하십시오.
configure
set firewall group network-group LAN_NETWORKS
set firewall group network-group LAN_NETWORKS description "LAN Networks"
set firewall group network-group LAN_NETWORKS network 192.168.0.0/16
set firewall group network-group LAN_NETWORKS network 172.16.0.0/12
set firewall group network-group LAN_NETWORKS network 10.0.0.0/8
commit
Step 2: PROTECT_IN 방화벽을 생성하기
이 방화벽은 네트워크 그룹에 있는 모든 서브넷에서의 게스트 VLAN으로의 접근을 차단합니다.
룰셋 생성
set firewall name PROTECT_IN
기본 행위 정의
set firewall name PROTECT_IN default-action accept
허용 룰 생성
set firewall name PROTECT_IN rule 10 action accept set firewall name PROTECT_IN rule 10 description "Accept Established/Related" set firewall name PROTECT_IN rule 10 protocol all set firewall name PROTECT_IN rule 10 state established enable set firewall name PROTECT_IN rule 10 state related enable
거부 룰 생성
set firewall name PROTECT_IN rule 20 action drop set firewall name PROTECT_IN rule 20 description "Drop LAN_NETWORKS" set firewall name PROTECT_IN rule 20 destination group network-group LAN_NETWORKS set firewall name PROTECT_IN rule 20 protocol all commit
Step 3: PROTECT_LOCAL 방화벽 생성
이 방화벽은 게스트 VLAN이 라우터로부터 DNS, DHCP 정보를 얻어올 수 있도록 허용합니다.
룰셋 생성
set firewall name PROTECT_LOCAL
기본 행위 정의
set firewall name PROTECT_LOCAL default-action drop
DNS 허용 룰 생성
set firewall name PROTECT_LOCAL rule 10 action accept set firewall name PROTECT_LOCAL rule 10 description "Accept DNS" set firewall name PROTECT_LOCAL rule 10 destination port 53 set firewall name PROTECT_LOCAL rule 10 protocol udp
DHCP 허용 룰 생성
set firewall name PROTECT_LOCAL rule 20 action accept set firewall name PROTECT_LOCAL rule 20 description "Accept DHCP" set firewall name PROTECT_LOCAL rule 20 destination port 67 set firewall name PROTECT_LOCAL rule 20 protocol udp commit
Step 4: 인터페이스에 룰셋 적용
Note: eth2 vif 10 인터페이스는 환경에 따라 다를 수 있습니다. 방화벽을 인터페이스에 맞는 VLAN에 할당하십시오.
set interfaces ethernet eth1 vif 10 firewall in name PROTECT_IN
set interfaces ethernet eth1 vif 10 firewall local name PROTECT_LOCAL
commit
save
exit
Step 5: (선택사항) 장치 접근을 허용하기
장치 접근을 허용하는 것은 게스트 VLAN 바깥 특정 장비에서 접근이 필요할 때 사용합니다. (예를 들어 제한된 LAN 서브넷에 위치한 프린터)
Note: 이 룰은 PROTECT_IN 룰셋에서 거부 룰 **이전에* 위치해야 합니다.*
set firewall name PROTECT_IN rule 19 action
set firewall name PROTECT_IN rule 19 action accept
set firewall name PROTECT_IN rule 19 description "Accept Printer"
set firewall name PROTECT_IN rule 19 destination address 192.168.1.150
commit
save
exit
관련 문서