10. OOPS Firewall Bridge 설정 - bridge.conf

OOPS Firewall 6.0 에서 새로 추가된 부분이다. 6.1.0 이전 버전에서는 bridge 구간의 필터
링이 되지 않는 버그가 존재하기 때문에 6.1 이상으로 업데이트를 하기 바란다.

7.0.0 부터는 기존에 brctl을 이용하여 OOPS Firewall이 bridge interface를 직접 생성하던
기능이 제거가 되었다. 그러므로, bridge 구성은 시스템에서 직접 설정을 해야 한다.

또한, 7.0.0 부터 bridge 관련 코드가 완전 재작성이 되어: 이전 버전의 설정들과는 호환이
되지 않으므로 주의해서 업데이트를 하도록 한다.

다음은 Bridge 설정을 보도록 한다.

 [root@bbuwoo oops-firewall]$ cat /etc/oops-firewall/bridge.conf

  ##########################################################################
  # Bridge 를 위한 설정
  #
  # $Id: bridge.conf 338 2013-01-04 19:17:13Z oops $
  #
  # oops-firewall 에서 bridge 를 사용하기 위한 설정.
  #
  # bridge 를 사용하기 위해서는 2개의 ethernet device 가 필요하며, WAN 구간
  # 과 LOCAL 구간의 DEVICE 를 지정해 주어야 한다. 단, MASQ 를 사용할 시에는
  # MASQ Local device 와 Bridge Local device 가 중복되면 안된다.
  #

  Bridge 설정은 크게 2 가지로 분류가 된다.  첫째는 사용 여부 설정이고, 다음
  은 Bridge 구간의 filtering 설정이다.

  ##########################################################################
  # Bridge 사용여부
  ##########################################################################
  # 사용     : 1 or true or yes
  # 사용안함 : 0 or false or no
  #
  # conf/interface.conf에서 BRIDGE_WANDEV 와 BRIDGE_LOCDEV 가 지정이 되어있
  # 어야 작동 한다.
  #
  #
  BRIDGE_USED = false

  Bridge 사용 여부를 결정을 한다. Bridge 가 무언지 모른다면 그냥 0으로 나두
  고 사용하면 무리가 없다. 1 로 설정할 경우 interface.conf 에서 BRIDGE_* 설
  정이 꼭 되어 있어야 적용이 된다는 것을 명심한다.


  ##########################################################################
  #
  # Bridge filtering configuration
  #
  # bridge 의 특성상 all 은 사용하지 않는 것이 좋다. 될 수 있으면 해당 호스
  # 트별로 설정을 해 주도록 한다.
  #
  ##########################################################################

  여기서 부터는 Bridge 의 filtering 설정이다.  이 설정은 filter.conf의 설정
  과 유사하다. 즉, 주석을 잘 보고 filter.conf 설정 하듯이 하면 된다.

  bridge설정의 경우 bridge는 중계이기 때문에 접속시도 하는 곳(Source IP) 와
  접속을 하는 곳(Destination IP)이 있어야 한다는 것이 filter.conf 와의 차이
  이다.


  ##########################################################################
  # Incoming configuration
  ##########################################################################
  #
  # Bridge WAN 구간에서 Bridge 내부로의 접근을 허가한다.
  # 각 포트 번호는 /etc/service file 을 참조할것
  # RULE:
  #       SOURCE[:PORT[:STATE]]|DESTINATION[:PORT[:STATE]]
  #
  BR_TCP_ALLOW =
  BR_UDP_ALLOW =

  간단하게 예로 설명을 한다.

  BR_TCP_ALLOW = 1.1.1.1|10.10.10.2
     => 1.1.1.1에서 10.10.10.2 로의 TCP 연결을 허용

  BR_UDP_ALLOW = 1.1.1.1|10.10.10.32:53
     => 1.1.1.1에서 10.10.10.32의 53번 포트로 UDP 연결을 허용

  BR_TCP_ALLOW = 1.1.1.1:1025-1125|10.10.10.0/24:1205-65536:ESTABLISHED,RELATED
     => 1.1.1.1의 1024~1125번 포트에서 10.10.10.0/24 네트웤의 1205~65535
           사이의 포트에 TCP ESTABLISHED 상태와 RELATED 상태의 연결만 허용
  


  ##########################################################################
  # ICMP configuration
  ##########################################################################
  #
  # Bridge WAN 구간에서 Bridge 내부로의 ping/traceroute를 허가한다.
  #
  # RULE:
  #       SOURCE|DESTINATION
  #
  BR_PING_ALLOW  =
  BR_TRACE_ALLOW =


  ##########################################################################
  # Bridge LAN 구간에서 Bridge WAN 구간의로의 접속 설정
  ##########################################################################
  #
  # LAN 구간에서 WAN구간의로의 ICMP는 all로 열려 있다.
  #
  # RULE:
  #       SOURCE[:PORT[:STATE]]|DESTINATION[:PORT[:STATE]]
  #

  BR_OUT_TCP_ALLOW =
  BR_OUT_UDP_ALLOW =

  
  이 지시자에 설정을 하는 것은 Bridge local 구간에서 Bridge WAN 구간 방향으
  로의 연결만 설정이 가능하다.
  

 [root@bbuwoo oops-firewall]$

다음은 특정 룰을 간편하게 사용하기 위한 application 설정을 보도록 한다.