방화벽 ACL과 관련하여 질문드립니다.

루나킹   
   조회 2132   추천 0    

 안녕하세요, 작은 회사에서 어쩌다보니 IT 관리를 맡게된 회사원입니다.


저희 회사는 IDC를 운영하고 있으며, IDC 서버 상단에 외산 방화벽을 구축하여 운영하고 있습니다.

IDC 방화벽 관리자 페이지와 서버들은 본사 IP에서만 접속이 가능하도록 룰을 설정하였습니다.


그러다가 얼마 전 회사가 되게 급작스럽게 이사를 가게 되었습니다. 회사의 공인 IP는 변경되었구요...

이사때는 회사 방화벽과 네트워크만 신경쓰다보니 IDC는 새까맣게 잊고 있다가 어제 IDC에 가서 서버를 통해 방화벽 관리자 페이지를 접속해서 방화벽에 걸려있는 예전 회사 IP인 A.A.A.A를 신규 IP로 변경하려고 했습니다... 그런데 관리자 페이지 접속이 안되더군요...

알고보니 전임자가 관리자 페이지 ACL을 예전 회사 IP로만 걸려있도록 설정한 것이였습니다.... 다 제대로 못챙긴 제 탓이네요...

꼼짝없이 방화벽을 싹다 밀고 처음부터 다시 다 작업하게 생겼습니다.


그러다가 조언을 들은것이 공유기를 가져가서 WAN 포트에는 아무것도 붙이지 말고 공유기 내부 네트워크 대역을 기존 회사 IP대역인 A.A.A.X으로 설정하고 노트북을 기존 회사 아이피인 A.A.A.A로 설정하고, 다른 LAN 포트에 방화벽 WAN 포트를 붙이면 접속이 가능할지도 모른다는 의견을 밭았습니다.


집에서 공유기로 모의 테스트를 해보니 대역대 설정도 되고, 서로 핑도 나가는듯 한데..... 과연 이 방법으로 방화벽을 속일 수(?) 있을까요??ㅠㅠㅠㅠ

아니면 다른 방법이 있을까요??

엠브리오 2019-10
그 장비의 모델명이 무엇인지는 모르겠으나, 시리얼 디버깅 케이블 써서 접근하여 ACL 설정을 해제 시키는 방법을 생각해 보시기 바랍니다.

방화벽은 허용되지 않는 접근을 철저하게 막는게 주기능입니다. 공유기 하나로 그렇게 쉽게 뚫기는 어려워 보이네요.
     
박문형 2019-10
+100

그게 그렇게 해서 속여 진다면

그 방화벽은 다른 곳에서 빵빵 뚫릴 위험에 있을수도 있습니다..
     
루나킹 2019-10
콘솔 가이드를 봐도 ACL이 걸려있는 룰 정책을 건들 수 없게끔 되어 있더라구요...
          
NaN 2019-10
제품모델을 알려주시면 도움이될것같습니다.
보통 콘솔케이블로 연결하면 바꿀수있는 경우가 대부분으로 알고는 있는데...
               
루나킹 2019-10
cyberoam CR50iNG 모델입니다.
                    
NaN 2019-10
검색해보니 콘솔에 붙어서 방화벽 룰을 수정할수있는것 같은데
룰을 추가하는게 불가능한건가요/
디오 2019-10
서비스 정지시켜도 된다면 공유기나 l3장비 놓고 공인ip로 설정해서 하면 됩니다.
     
루나킹 2019-10
좀 더 구체적으로 설명을 요청드려도 될까요?? 제가 네트워크 완전 초짜라서요....ㅠㅠ
          
디오 2019-10
l3기준으로 vlan 두개 만들어서 한개에는 방화벽 게이트웨이 ip설정하고

다른 vlan에는 기존 공인ip 게이트웨이설정하고 노트북붙이면 방화벽은 공인ip인지 알게 됩니다.

공유기라면 wan에 방화벽 게이트웨이 ip넣고 내부 lan대역에 기존공인 ip넣으면 통신되겠죠.
               
루나킹 2019-10
공유기 기준으로는
1. 공유기 wan 포트와 방화벽 wan 포트를 연결하고(관리자 페이지는 WAN(회사 IP)에서만 접속 가능하도록 설정되어 있음) 공유기 외부 아이피는 방화벽 GW IP로 설정
2. 내부 LAN 대역에 기존 회사 IP 대역대 입력 후, 노트북 IP를 기존 회사 IP로 입력해서 LAN 대역 연결하면 가능할거다라는 말씀이시죠??

일반 랜선으로 연결하면 되겠죠??

제가 네트워크를 부딧히며 막 배우는 초짜라 모르는게 너무 많네요... 죄송합니다...
                    
디오 2019-10
일단 방화벽 wan를 빼서 서비스를 중지 시킬수 있다면 가능한겁니다.

그리고 공유기에서 nat를 끌수 없다면 불가능합니다.

그러니  L3스위치를 사용해서 기존 사무실 공인 ip를 만들어 주는게 간단합니다.

L3스위치에 현재 방화벽 G/W IP를 설정하고 기존 사무실 G/W IP를 설정해야 방화벽이

기존 사무실 공인IP로 접속하는지 알게 됩니다. L3스위치 한개 빌려서 해보세요.
                         
루나킹 2019-10
넵 알겠습니다, L3스위치 구해보고 없으면 굴러다니는 IPTIME공유기로 한번 시도해보겠습니다.
정말 감사합니다
술이 2019-10
네 됩니다. 인터넷 라우팅만 불가할뿐 방화벽 wan 구간에 허용된 아이피를 붙여서 접근하면 가능합니다. 외부단에서 ip 변조가 불가능하지 내부단에서는 가상으로 임의부여된 아이피도 방화벽에서 논리적으로 인식되기에 안될리가 없죠.




제목Page 10/60
2019-12   2678   witbox
2019-12   1706   DDAYs
2019-12   1548   yootopia
2019-12   1077   빠시온
2019-12   2161   맹독충
2019-11   2623   HyoSung
2019-11   1760   아맞다내우산
2019-11   2279   아놔이런
2019-11   1313   작은꼬마
2019-11   1303   유동훈
2019-11   3041   Andrew
2019-11   2437   tpp52
2019-11   2297   난황씨
2019-11   2812   베니테즈
2019-11   2044   BlueApple
2019-11   3001   tpp52
2019-11   2170   박수형
2019-11   2125   아맞다내우산
2019-11   4944   AZUREGOD
2019-11   1976   박수형