UniFi - USG에서 WAN의 ICMP 비활성화하기¶

download at 2017-02-21T03:35:25Z origin

Overview

UniFi 보안 게이트웨이 (USG)는 관리자에게 유용한 UniFi 방화벽 룰 관리를 통한 네트워크 보안등 네트워크 관리 기능을 제공합니다. 이 문서는 UniFi 컨트롤러에서 방화벽 룰을 수정하여 WAN을 통한 ICMP 트래픽을 허용하거나 차단하는 방법에 대하여 서술합니다.

고려사항

인터넷 컨트롤 메시지 프로토콜 (ICMP)는 장치에 핑을 수행할 수 있는 등 트러블 슈팅을 위한 몇가지 유용한 점이 존재합니다.

5.5.x 버전 이전의 UniFi 컨트롤러에서는 ICMp 에코 요청은 WAN에서 기본으로 허용하였습니다. 이는 WAN IP는 인터넷에서 핑을 응답할 수 있음을 의미합니다. 이는 방화벽 룰로 차단하거나, ICMp 패킷을 허용하는 것을 config.properties 설정에서 비활성화 할 수 있습니다. UniFi 5.5.x 나 최신 버전에서는 기본적으로 차단함을 설정으로 가지고 있습니다. 이 트래픽을 허용하기 위해서는 방화벽 룰로 추가를 해야합니다.

UniFi 컨트로럴에서 ICMP 트래픽 비활성화하기 (5.5.x 이전버전)

Note: 5.5.x 이전 버전에서는 기본으로 ICMP가 허용되어 있습니다. 이후 버전에서는 ICMP 트래픽을 허용하기 위해 룰을 생성해야합니다. ICMP 트래픽은 방화벽 룰을 통해서 손쉽게 비활성화 하 수 있으며 USG의 UniFi 네트워크 어디서든 적용이 가능합니다. 룰을 생성하기 위해서는 다음 명령어를 수행합니다:

UniFi 컨트롤러를 실행합니다.
Settings > Routing and Firewall 으로 이동합니다.
페이지 최상단의 Firewall을 선택합니다.
"WAN LOCAL" 선택
"Create New Rule" 클릭

"Drop ICMP"로 룰의 이름을 명명하던가 적절한 이름을 작성합니다.
Enabled "On" 선택
"before Predefined Rules" 룰 적용 선택
"Drop" 액션 선택
"Choose a protocol by name" 를 선택하여 "ICMP" 를 드롭다운 박스에서 클릭
"Save" 를 클릭하여 변경내역 적용

설정을 완료하면, WAN의 ICMP는 차단됩니다.

다른 방법으로 직접 USG에 ICMP 트래픽을 차단하도록 할 수 있습니다. `config.firewall.internet.local.icmp=false` 값을 `config.properties` 파일에 기록합니다.