방화벽 서버를 만들고 싶습니다.

fairly의 이미지

회사내에 사용할 방화벽 서버를 만들고 싶습니다.
목적은
첫째로 리눅스와 조금더 친해지기 위해서이고
두번째로는 현재 회사 내 네트웍 환경을 좀더 개선 시켜보고자 함입니다.

사내에는 약 50내의 컴퓨터가 랜에 연결되어 있고 KT의 T1급 전용선을 사용하고 있습니다.
웹서버가 있고 메일서버와 ERP서버가 있습니다. 현재는 방화벽 기능을 가진 링크시스 공유기를 사용중이고요.

여러 군내(주로 KLDP)에서 자료를 찾아서 설치하고 설정하는 법은 알아두었습니다.

이재홍님이 쓴 리눅스로 Bridge Firewall 만들기
http://wiki.kldp.org/wiki.php/DocbookSgml/Bridge_Firewall-KLDP#KLOGD
를 기본으로 만들려고 하는데요.

가장 힘든 부분은 하드웨어, 즉 서버 문제입니다.
방화벽 용도로 사용하는데 어느 정도의 성능이 요구 되는지 궁금합니다.
현재는 200만원 정도 하는 서버를 구입할까 , 아니면 pc정도의 스팩을 사용할지
결정하기가 힘듭니다.

조립을 할 경우에 리눅스와 잘맞는 하드웨어를 찾기가 힘드네요.
게시판을 검색해보면 거의 모든 하드웨어를 다 지원한다고 하시는데
이미 있는 컴퓨터에 리눅스를 까는 입장과 리눅스에 맞는 하드웨어를 찾는 입장이 다르다 보니 좀더 구체적인 자료가 필요합니다.

Linux Hardware Compatibility HOWTO
http://www.tldp.org/HOWTO/Hardware-HOWTO/
에서 리눅스와 호완되는 제품 목록을 찾아보니 현재 실정과는 맞지 않는듯하고요

또한 방화벽으로 쓸수 있는 안정성이 따라 줄지도 알수 없고요.

언제든 무엇을 하든 그 기반이 되는 하드웨어나 부품을 선정하는 일은
정말 힘드네요. 그리고 신중해 지고요.

여러분의 도움이 필요함니다. 초보 리눅서가 좀더 리눅스와 친해 질 수 있도록요.

Necromancer의 이미지

학교에 프락시 깔러 다닌적이 있었죠.

물리는 pc는 대략 백대에서 이백대 정도
성능좋은게 제온듀얼 정도. 대부분 p3더군요. p2도 봤습니다. 라인은 E1아니면
메트로이더넷 (5M였던가 10M였던가)

별탈없이 잘 쓰시던데요.

Written By the Black Knight of Destruction

supply의 이미지

Quote:
조립을 할 경우에 리눅스와 잘맞는 하드웨어를 찾기가 힘드네요.
게시판을 검색해보면 거의 모든 하드웨어를 다 지원한다고 하시는데
이미 있는 컴퓨터에 리눅스를 까는 입장과 리눅스에 맞는 하드웨어를 찾는 입장이 다르다 보니 좀더 구체적인 자료가 필요합니다.

안녕하세요?
우선은 방화벽을 만드신다면 가능한 브랜드의 서버를 구입하시기 바랍니다.
꼭 해외 브랜드가 아니더라도 국산에도 괜찮은 제품이 많이 있습니다.
가용성이 가장 중요한 부분이고요.
더불어 방화벽 하드웨어에서 가장 큰 부분을 차지하는 NIC가 괜찮은 제품이 달려서 오죠. 듀얼이기도 하고요.
그리고, 브랜드 서버의 경우 지금 나오고 있는 제품이라면 리눅스 설치에 문제가 없다고 보셔도 될 정도로 호환성은 좋습니다.
조립의 경우엔 가능한 검증된 하드웨어를 사용하시는게 최적일 겁니다.

fairly의 이미지

감사합니다.
여전히 찾기가 힘들긴 하지만 그래도 잘 골라봐야 겠네요
렉 형태로 만들어 볼려고 하는데 어떤 형태로 만들어야 할까요?
조립품으로 만들 경우에요.

agkrwyasym의 이미지

방화벽 서버사양은 그리 중요하지 않습니다. 단지 트래픽양에 따라 NIC를 고려해봐야 겠지만, 10M 이내에서는 보통 가격이 낮은 싸구려(?) 리얼텍도 문제없습니다. 메모리는 리눅스 돌아가는데 최소한만 있으면됩니다.

트래픽이 10M 이상 100M 이하.. 부하가 많은 방화벽일경우.. NIC 인터럽트로 CPU가 많이 사용되는데, 이때 폴링설정으로 CPU부하를 낮출수 있습니다..

위의 경우는 포트방화벽이고, snort같은 IDS를 설치하실거라면 고사양이 요구됩니다.. 50대 피씨면.. 보통 피씨사양 컴이면 충분하고도 남습니다.

지리즈의 이미지

P166 mmx로 T1쓰는데,
전혀~ 느린 느낌이 없습니다.

랜은 rt8139입니다.

단 커널을 최적화된 컴파일을 하는 것이
중요합니다.

또한 불필요한 서비스는 설치하지 마시길 바랍니다.

개인적으로 trustix 리눅스를 권장합니다.

There is no spoon. Neo from the Matrix 1999.

지리즈의 이미지

fairly wrote:
감사합니다.
여전히 찾기가 힘들긴 하지만 그래도 잘 골라봐야 겠네요
렉 형태로 만들어 볼려고 하는데 어떤 형태로 만들어야 할까요?
조립품으로 만들 경우에요.

2U짜리 PC서버용 케이스들은 비교적 저렴하게 구입할 수 있습니다.

물론 1U도 구입할 만한데,,,싸구려 PC부품들로는 조립하기가
난해한 경우가 많습니다.

온보드제품들과 셀로론, 듀론과 같은 발열양이 비교적 떨어지는
CPU를 선택하면, 잘하면, 1U로도 구성이 가능합니다.

개인적으로 권장하는 것은
2U 케이스에...
최고급 듀얼 Xeon에 램 2G쯤에...
그래픽카드는 Nvidia의 최고급제품,
하드도 치타에 SCSI 레이드로 4개정도을 구입하고.
본인이 사용하는 것과 교체할 것을 권장합니다.

오티컬 장비들은 DVDrw 제품중에 가장 비싼 걸로 구입해서...
역시 가장 후진 cd-rom으로 교체하세요...

하드는 사무실에서 가장 작은 하드로 교체해서 달거나,
아에 라이브씨디로 운영하는 것도 방법입니다.
로그를 남길 필요가 없다면요...

There is no spoon. Neo from the Matrix 1999.

ssggkim의 이미지

사무실에서 남는 부품 조합해서 만들어 쓰고있는데 사용에 큰 지장이 없습니다.
사양은 P4 1.5G, 256M ram, 3c905C, RTL8139 입니다. :)

익명 사용자의 이미지

경험상 RTL8139는 high traffic에서 packet을 drop시키는경우가 있습니다.
QoS가 그렇게 중요하지 않다면 상관없긴 하지만요...

juy0215의 이미지

ip_conntrack_max 값 수치 확인하시고 조정해주시면되요
아니면 0 으로 무한대를 주시던가
$IPTABLES -t raw -A PREROUTING -j NOTRACK
$IPTABLES -t raw -A OUTPUT -j NOTRACK
위와 같은 내용으로 기록하지 않게끔 하는 방법도 있습니다.

익명 사용자의 이미지

회사용이라고 하시면 하지 마시길 바랍니다.

회사라는게 첨에 할때는 모..그런가 보다 하는데.

나중에 문제가 발생해서 시스템이 죽거나 하면.

그 모든 화살은 구축자에게 돌아 옵니다.

집에서 테스트 하시고.

회사에서 하실려면 제대로!!! 하시는게 나중에 이로울 듯 합니다.

fairly의 이미지

손님 wrote:
회사용이라고 하시면 하지 마시길 바랍니다.
회사라는게 첨에 할때는 모..그런가 보다 하는데.
나중에 문제가 발생해서 시스템이 죽거나 하면.
그 모든 화살은 구축자에게 돌아 옵니다.
회사에서 하실려면 제대로!!! 하시는게 나중에 이로울 듯 합니다.

사실 이것 때문에 시스템(하드웨어)의 안정성에 대해서 신경쓰고 있씁니다.
방화벽 설정은 설치 해가며 안정화(테스트기간)시킬 수 있지만
하드웨어는 한번 설치하면 교체하기가 힘들테니까요.
그래서 좀 부담이 되네요.

그래서 요즘 중고 서버쪽으로 알아보고 있는데 만만치 않네요.
휴... 가격도 문제지만 중고라 좀 그렇네요.
답변 주신 분들께 너무 감사하고 있습니다.
처음 올린 글인데도 고마운 분들의 많은 지적에 너무나 기분이 좋습니다.

hansennn의 이미지

저도 현재 사내방화벽+IDC방화벽을 리눅스로 구축해 가동중인데..
사내방화벽은 머.... 사양 따지지도 않고 굴러다니는 컴터로 만들었습니다.

CPU:셀 1.0?
램: 192M
랜카드: 하나는 RTL8139, 하나는 어디건지 모름 ;;;;

그래도 잘 돌아가구요...

골치아픈건 방화벽시스템이 골치아픈게 아니라..

여기 왜 안되지? 고스톱 왜 안되지? 왜 안들어가지지?
인터넷이 왜 이렇게 느리지?

이거 다 감당해야 합니다.

특히.. 인터넷 느려지면.. 타겟이 다 방화벽으로 몰립니다.

이게 더 골치아프더군요..

그래도 rrdtool 이랑 거기에 더해서 ntop 까지 돌아가도록 만들고 나면 웬지 뿌듯~ !!

ntop 은 사생활 침해로도 이용될 수 있을 거 같아 웬만해선 잘 안띄우지만... >.<

Do you really wanna be?
Rich & famous now!

fairly의 이미지

hansennn wrote:
저도 현재 사내방화벽+IDC방화벽을 리눅스로 구축해
골치아픈건 방화벽시스템이 골치아픈게 아니라..
여기 왜 안되지? 고스톱 왜 안되지? 왜 안들어가지지?
인터넷이 왜 이렇게 느리지?
이거 다 감당해야 합니다.
특히.. 인터넷 느려지면.. 타겟이 다 방화벽으로 몰립니다.
이게 더 골치아프더군요..
>.<

동감합니다. 현재 전 소프트웨어 개발자 이면서도 사내 네트웍까지 같이 하고
있습니다. 할 수 있는 사람들이 연구소 인력 밖에 없으니까요.
주로 하는 a/s 가 고스톱 할때 끊긴다거나
왜 집에서 보다 느리지?
그냥 인터넷이 안돼요(알고 보면 랜선 빠져 있거나 랜카드 접불 등등 ,아주 사소한 이유죠)

익명 사용자의 이미지

제가 회사에서 IPTable+Bridge로 사용하고 있습니다.

기가 방화벽이 필요했는데 상용제품 가격이 만만치 않아 리눅스 박스로 만들기로 했습니다.

현재까지는 성능은 대 만족이구요
(장비가 좀 비싼 장비 였습니다.
Xeon 2way, 1G Mem, Giga NIC(LC type) : Intel e1000, Brodcom
장비 값과 NIC 값이 500만원이 조금 안들어 간것 같네요.
하지만 Giga firewall은 3000 ~ 4000 만원 정도 선이니까,
많이 남겼죠?)

성능은 괜찮은데 관리하기가 좀 어려워서 아쉬운 점이 있습니다.
레포팅 기능도 없고..
필요한 소프트웨어를 찾고 있습니다만 어디 있겠지요?

hansenn 님이 쓰신 내용대로 말이 많이 나올 수 있습니다.
관리자가 IPTable. Linux, Bridge kernel 등에 대해 자신이 있을때까지
테스트를 마치신 후 도입하세요.

제가 서버용 으로 쓰고 있지만 서버용 이라면 저도 별로 권하지 않겠습니다.
오피스용 이라면 예산 절약하고 이쁨받는 관리자 되는 것도 좋을 것 같네요.

CPU와 메모리는 성능과 별 상관 없습니다만
NIC는 intel이나 3Com으로 구매해서 사용하시는게 좋을 것 같네요.
RealTeck 같은 건.. PC에서나 쓰세요.
별 문제 없는것 같아도 원인을 찾기 어려운 오류들이 종종 생깁니다.
이왕이면 Disk도 Raid 구성 하시고요.
bridge 모드로 운영하면 일반적인 방화벽과 달리 Session이라는게 없기 때문에
원인을 찾기 어려운 오류 같은것은 별로 발생하지 않습니다.

참고가 되셨길...

brown의 이미지

안정성이 문제겠죠.
안정성이 중요하다면 hp,ibm등 벤더사의 서버제품중 낮은 사양을 구입하시고
그렇지 않다면 그냥 일반 pc로 구축해도 무관합니다.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.