전 아래사건이후에  방화벽을 만들어 사용하고 있는데   

집에서도  방화벽이  인터넷에  직접 연결되고  무선공유기는 AP모드로 변경해 무선접속만 담당하고 있습니다. 

15년전쯤 회사에서  조그마한 자체 메일서버 한대와 웹서버를 운영한적이 있었는데  어느날 단지 인프라팀에게 연락이와서 살펴보니  서버가 해킹되어 엄청난 양의 이메일을 뿌려대는  좀비서버가 되어 있더군요.  단지내  전체트래픽의 95%를 차지하는... 

그일 이후에 방화벽에 관심을 가지게 되었고  IDS나 IPS에 관심이 생겼습니다. 

하드웨어는

처음엔 아톰보드에 랜카드 하나 추가하고 사용하다가  

나중에는  아래와 같은 럔포트6개 있는   1U서버  아톰 보드를  중국에서 구해다가  사용을 했습니다. 

그러다가 하드커널의 Ordroid H2를 알고나서부터는  쭉 이보드만 사용을 하고 있죠. - J4105(4코어) 듀얼랜. 입니다.

방화벽 소프트웨어는  

처음에 몇년은   Endian이라는 이탈리아 회사의  전용소프트웨어를 사용했었고  

이후 새로운 방화벽을 찾다가  Pfsens, Opnsenese, Untangle을 테스트 해보고 untnagle로 낙점하여 사용해오고 있었습니다.

방화벽 전문업체들은 보통 자사 전용장비로 팔지만  장비에 올리는 소프트웨어를 기능을 약간 제한하여 공개소프트웨어로 올립니다.- 요즘은 커뮤니티 버전이라고 하더군요. 

untnagle은 대시보드도 pfsense보다 이쁜편이고  몇가지 주요기능들이 유료로 빠져있긴하지만  꽤 쓸만합니다. 

다만 예전버전들은 UEFI를 지원하지 않아  최신하드웨어에  OS를 설치하기에  좀 여려운점이 있습니다.

특히 일반 SSD나 HDD가 아닌 eMMC를 사용하는 장비는  부트로더가 설치되지 않고 에러가 나버리는 증상때문에 설치가 어려웠습니다.

지난주  Odroid h2장비를 가지고 놀다가  바이오스 펌웨어 업그레이드를 하게 되었고..  이참에 모든 장비의  업그레이드를 하게 되었습니다.   헤놀로지,  우분투서버,  그리고 언탱글 방화벽.. 

문제는 방화벽의 펌웨어를 업데이트하고 나서  부트로더가 깨져서 부팅이 안되는 불상사가.. 

재빨리 언탱글 최신버전을 구해서 재 설치를 시도했는데   최신버전은 uefi도 지원하는걸로 바뀌었는데 왜 부트로더를 못쓰고 마지막에 에러가 나는지. 모르겠더라구요.  

그래서 임시로 급하게  pfsense를 깔았다가... 왠지 맘에 안들어서  opnsense를 설치하고  일단 한숨을 돌렸습니다. 

인텔의 삽질 그리고 물량부족.

저전력이라는 이유로  예전부터 아톰보드를 좋아했었습니다.  윈도우 깔고 실사용으로는 성능이 너무 떨어지지만 간단한 서버 24시간 돌리기에는 최적으로 보였거든요. 

그러다가 J4105를 만났는데.  4코어에   4K도 지원해서  TV옆에 미디어PC로 놓기도 좋고.  시놀로지 918에 들어가는 cpu라 헤놀로지 만들기도 좋고.  외부장치 안달면 10W로 충분.  NVME에 HDD달고 맥스로 돌려도  소비전력이 15-18W/h 정도밖에  안되었거든요. 

그런데  이놈의 J 시리즈는 툭하면 물량부족에 시달려 보드를 구할수가 없습니다. 신제품에 밀리거나  주력제품에 밀려 생산이 잘 안되니 제품자체가 항상 판매완료나   입고예정 모름.. 

그런데   DSM 7.1이 올라간  헤놀로지 설치하고 나니  나스가 몇대 더 필요해져서   보드가 필요해졌습니다. 

그러다  방화벽으로 쓰던 녀석을 더 낮은 성능의 보드로 바꿔도 될거 같은데 라는 생각으로 전환되더니  

예전에 사두고 방치한  AtomicPi를 사용해보기로 다시한번 생각합니다. 

3년전쯤 어느날 갑자기 나타만 싱글보드.  30불정도의 가격에  Intel Atom x5-Z8350 quad코어를 탑재하고  2기가램에  16G eMMC. 다양한 확장.  라즈베리파이와 비교되던,  그런데 막상 받아보고선  어중간한 성능에 그냥 사용을 포기했습니다.  

램도 어중간. sata포트가 없어  디스크 달수도 없고.  메모리카드 슬롯으로 뭐 하기엔 좀 애매하고.. 등등... 

이보드는 사실 무슨 로봇프로젝트에 사용될 녀석이었는데  프로젝트가 무너지면서 남은 보드를  그냥 내다 판거죠. ㅎ 

사실 이녀석은 랜포트가 하나밖에 없어서  라우터용으로 사용하기엔 부적절합니다. 다만 USB3.0포트가 한개 있어서. 이걸 잘 이용하면  되지 않을까 생각한 하고.  아래 랜카드를 주문해놨었습니다. 

사실. 작년엔가 이미 세팅은 해놓고 예비로만 가지고 있었는데.  이녀석을 메인으로 사용해보기로 합니다.  

그런데.. opnsense로 구동하는  방화벽이 계속 문제를 일으킵니다.  

cpu 사용량과 램은 남아 있는데  왜 인지.  IPS패키지인 suricata는 돌다가 멈추고. unbound DNS도 자꾸 멈춰서  네트워크가 먹통되는 증상이  한시간에도 몇번씩..   pfsense도  설치해봤는데  불안하긴 마찬가지.. 

가족들은 인터넷이 왜 이러냐고 불만을 쏟아내더군요.   그래서 포기하려던 차에.. 

Untnagle을 다시 사용할 방법을 찾게 되었습니다.   UEFI를 지원하는 버전의 iso를 다운받아.  usb에 전용툴로 쓰지말고.  

FAT32로 포맷한 USB에  해당 iso를  마운트한후  복사해서 사용하는 방법이었습니다. 

해당방법을 이용하니 계속 문제가 있던  오드로이드에도  언탱글을 설치할수 있었고.  

바이오스 업데이트하기전 원래로 상태로 무사히 돌아오긴했지만 

마지막으로 아토믹파이에  언탱글을 설치해서 테스트를 해보게 되었습니다. 

결과는  아주 만족스럽습니다. 

사실 미려한 UI등으로 인해 언탱글이  pfsense보다 더 무거울 줄 알았는데 의외입니다.  

어쩌면 pfsense등을 최적화해서 사용못한 이유일수도 있겠다 싶긴한데. . 이미 늦었습니다.

언탱글 5년정도 쓰고나니 다른건 못쓰겠습니다. 

일단 인터넷은 안정적으로 돌고 있습니다. opnsense에서 보던 먹통증상은 전혀없고.  장비 UI반응속도도 나쁘지 않습니다. 

iperf로 속도측정한 결과를 추가합니다.  

단일 전송시엔
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 448 MBytes 376 Mbits/sec sender
[ 4] 0.00-10.00 sec 448 MBytes 376 Mbits/sec receiver

-P 2 옵션으로 동시 전송 2개
[SUM] 0.00-10.00 sec 874 MBytes 733 Mbits/sec sender
[SUM] 0.00-10.00 sec 872 MBytes 732 Mbits/sec receiver

-P10 옵션일때
[SUM] 0.00-10.00 sec 1.05 GBytes 898 Mbits/sec sender
[SUM] 0.00-10.00 sec 1.00 GBytes 863 Mbits/sec receiver

정도 나왔습니다.

글이 또 두서없이 되버린거 같아 일단 이번 사태를 기록으로 남길겸 몇가지 정리해보면 

1. 방화벽 SW로는 untangle을 추천합니다.  - 저사양 하드웨어와도 잘 어울립니다.   년 50불에 홈버전 사용하시면 부가기능. 

2. AtomicPi보드는  USB 랜 추가하면 방화벽장비로 활용가능하다.. 

  - 여기에 pfsense나 OPNsense 설치시에는  부팅중에 멈추는데 부팅할때  부트메뉴에서 3번 들어가 아래 명령어 처리 필요

(해당 멈춤증상은  BSD계열 OS에서 똑같이 일어남 )

set hint.uart.0.disabled="1"

set hint.uart.1.disabled="1"

boot

이후  /boot/loader.conf 파일을  /boot/loader.conf .local로  복사후 /boot/loader.conf .local파일에 위 두줄 추가

3. 언탱글 설치때 마지막 부트로더 작성시  Grub에러 나면서 설치가 마무리 안되면     부팅 USB를 다시 만들어보자 

  - ISO파일을  write툴로 usb에 직접 쓰지말고  usb를 FAT32로 USB포맷후,  iso를 마운트하고 해당 내용을 카피해서 만들자. 

이상 참고하시라고 글 남겨봅니다.