Cloudflare 프록시 서버를 거쳐 들어오는 요청 허용하기

opnsense 이전 글에서 해외 접근을 차단하는 방법을 올린 적이 있었다.

https://dae-ya.tistory.com/9

opnsense에 GeoIP 적용하여 해외접근 차단하기

 

Cloudflare 프록시 서버도 해외에서 하는 접근이라 똑같이 차단될 것이라는 말을 이전 글에서 설명했었다.

그래서 이번 글에서는 해외 접근 차단은 유지한채로 프록시 서버의 접근은 허용하는 방법을 올리려고 한다.

 

간단하게 원리를 설명하자면 우리는 방화벽 접근 허용 규칙에 Cloudflare 프록시 서버의 IP를 입력하여 접근 허용 할 예정이다.

아래 링크에서 Cloudflare 프록시 서버 IP는 Cloudflare 쪽에서 공개를 한다는 것을 얘기했었다.

https://dae-ya.tistory.com/5

NPM에 Cloudflare Proxy를 통한 클라이언트 실제 IP 확인 방법

이 목록을 받아와 허용 규칙에 적용시키면 된다.

 

opnsense의 Aliases 탭으로 들어간다.

+버튼을 눌러 Aliasese를 추가해준다.

 

아래의 설정과 동일하게 추가해준다.

Name에는 Aliases의 이름을 적어준다.

 

Type은 URL Table(IPs)를 해줘야 여러 IP들을 적용할 수 있다.

Refresh Frequency는 목록의 내용을 업데이트하는 것인데 자주 하면 밴을 당하기 때문에 하루정도에서 1주일 정도가 적절하다고 생각한다.

 

가장 중요한 Content인데

https://www.cloudflare.com/ips-v4/ https://www.cloudflare.com/ips-v6/

 

이 두 링크에서 목록을 직접 보여준다.

추가를 완료하고 외부 규칙을 만들 거 기 때문에 Firewall-Rules-WAN 탭으로 이동한다.

 

opnsense는 규칙의 우선순위를 위에서 아래로 인식하기 때문에 우리는 이번 허용 규칙을 맨 위로 올리고 2번째에 해외 차단 규칙을 올려야 한다.

순서를 잘못 설정 시 제대로 작동하지 않는다.

 

+버튼을 눌러 규칙을 추가한다.

우리는 허용 규칙을 만들기 때문에 Action은 Pass

외부 규칙이므로 Interface는 WAN

Direction은 in

TCP/IP는 v4, v6 둘 다

프로토콜은 TCP/UDP 둘 다

 

Source는 아까 만들었던 Aliases의 이름을 선택한다.

Destination은 Single host를 선택하여 내부 서버 ip를 입력했다.

이때, 리버스 프록시 서버를 운영중이면 리버스 프록시 서버의 ip를 입력한다.

LAN Network를 선택하지 않는 이유는 허용 규칙에 내부망 모두를 적용하면 보안적으로 문제가 생기기 때문에 최대한 적은 기기를 허용시켜야 한다.

Destination port range는 웹서버만 외부로 노출할 거 기 때문에 https를 선택했다. 추가 외부 포트나 SSL인증서가 없어 적용하지 못한 서버는 http나 특정포트를 열어도 된다.

 

이 규칙을 추가하고 WAN 규칙에 맨 위로 올리면 이제 Cloudflare 프록시 서버를 거치는 접근은 모두 허용이 된다.

 

그럼 이제 또 생기는 문제가 생기게 되는데 외국에서 도메인을 통해 접근하면 접근이 가능하다는 것이다.

그러면 해외 차단의 이유가 없을 것 같지만 Cloudflare 설정에서 WAF를 통해 국가 차단이 가능하기 때문에 WAF를 설정한다면 좋은 보안 수단이 될 것이다.

즉, Cloudflare에서 1번, opnsense에서 2번 해외 접근을 거르는 것이다.

WAF 해외 차단 방법은 추후에 올리겠다.