iptables을 이용한 내부 인터넷의 서버로의 포트포워딩 질문입니다.

쓰기

iptables을 이용한 내부 인터넷의 서버로의 포트포워딩 질문입니다.

2009-08

2009-08-19 00:48:58

조회 9706 추천 0

현재 제 홈 네트워크 구성이..

WAN --- 공유기 ---- 서버컴1 (192.168.0.10)
　　　　　　　　ㄴ--- 서버컴2 (192.168.0.20)

이렇게 공유기 하단부 사설망에 서버컴2대가 연결되어 있고
공유기 자체내 DMZ 설정으로 외부에서 접근할 시 서버컴1에 모든 포트를 몰아준 상태입니다.
둘 다 centos 5.3 32bit이 설치 된 상태입니다.
각각 이더넷카드는 1개만 설치되어 있습니다.

각각 ftp서버가 설치 되어 있고, 각 포트는 21 포트를 사용합니다.
ddns를 이용하여 개인 도메인(exam.net)에 연결되어 있습니다.

원격에서 사용자가 ftp client를 사용하여 exam.net으로 접속을 시도하면 서버컴1(192.168.0.10:21)로 잘 접속이 되는데
만일 exam.net:7000으로 접속을 시도할 경우 이때도 서버컴1로 접속이 들어오는데,
서버컴1이 iptables 규칙을 사용하여 서버컴2의 21포트(192.168.0.20:21)로 넘길 수 있는 방법을 알고 싶습니다.

*물론 공유기 내의 포트포워딩 설정을 해도 해결된다는 것은 알고 있습니다

현재 서버컴1의 iptables 구성은 다음과 같습니다.

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.20:21
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [565:40050]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

여기서 뭘 더 어떻게 수정해야할까요...

현재는 ftp만 설정되어있지만 ssh외 기타등등도 모두 저런식으로 해결할 예정입니다.

짧은글 일수록 신중하게.



psj1050 2009-08 공유기는 어떤거 사용하시나요 ?? .. 공유기는 어떤거 사용하시나요 ?? ..



몽몽 2009-08 ftp 서버가 passive모드 접속을 열어줄때 패시브 포트를 지정해줘야 합니다. 1024이하 포트까지 열어주면 위험하죠. -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 를 아래와 같이 변경하세요 -A RH-Firewall-1-INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT 그리고 공유기 바로 하단에 L2 스위치 하나 물려서 내부 서버간에 발생하는 트래픽이 공유기에 영향을 미치지 않게 해주는 것이 좋습니다. ftp 서버가 passive모드 접속을 열어줄때 패시브 포트를 지정해줘야 합니다. 1024이하 포트까지 열어주면 위험하죠. -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 를 아래와 같이 변경하세요 -A RH-Firewall-1-INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT 그리고 공유기 바로 하단에 L2 스위치 하나 물려서 내부 서버간에 발생하는 트래픽이 공유기에 영향을 미치지 않게 해주는 것이 좋습니다.



김윤술 2009-08 DMZ를 해제해야합니다. 당연히 모든포트를 1로 몰아버렸는데 다른포트가 2번서버에 갈일이 없죠. 간혹 DMZ로 넘겨도 포트포워딩을 다른 PC로 하면 넘어가는 공유기는 봤습니다(버그겠죠). 만약 서버1에서 받은 트래픽을 2로 넘겨야 한다면 2번 서버의 게이트웨이 주소는 1번서버 아이피로 넣어줘야 가능합니다. 리눅스는 잘모르지만 윈도우는 저렇게 해야하겠죠. DMZ를 해제해야합니다. 당연히 모든포트를 1로 몰아버렸는데 다른포트가 2번서버에 갈일이 없죠. 간혹 DMZ로 넘겨도 포트포워딩을 다른 PC로 하면 넘어가는 공유기는 봤습니다(버그겠죠). 만약 서버1에서 받은 트래픽을 2로 넘겨야 한다면 2번 서버의 게이트웨이 주소는 1번서버 아이피로 넣어줘야 가능합니다. 리눅스는 잘모르지만 윈도우는 저렇게 해야하겠죠.



몽몽 2009-08 물론 어떤 목적이 있어서 그런거겠지만 모든 접속을 서버1을 경유해서 서버2로 가게 할려는 목적이라면 물리적인 구성을 바꾸는게 좋습니다. 공유기에는 서버1만 물리고, 서버1에 NIC(eth1) 추가해서 서버1(eth1)---서버2(eth0)으로 바로 선을 연결해주면 좋겠죠 물론 어떤 목적이 있어서 그런거겠지만 모든 접속을 서버1을 경유해서 서버2로 가게 할려는 목적이라면 물리적인 구성을 바꾸는게 좋습니다. 공유기에는 서버1만 물리고, 서버1에 NIC(eth1) 추가해서 서버1(eth1)---서버2(eth0)으로 바로 선을 연결해주면 좋겠죠



Antslee 2009-08 우선 답글 달아주신 분들 감사드립니다. /박상준님 zio 공유기 사용합니다. ZIO INB5140SR /김윤술님 DMZ 해제했습니다. 그래도 전혀 안됩니다.... /김현호님 첫번째 댓글에 대해선.. 애초에 ftp는 active모드 설정으로 해놧습니다. vsftpd를 사용하는데 passive설정으로..사용 패시브포트는 5000~5005 이렇게 구성해서 iptables에 filter ACCEPT해놔도 전혀 안되더군요...그래서 active 두번째 댓글에 대해선... 말씀하신대로 그렇게 하면 쉽게 구성이 되는데 서버1(eth1)에 연결되는 컴터가 1대라는 가정(직접 연결)에서만 통용될 것 같네요. 서버1의 eth1을 스위치에 연결해서 그 밑에 서버2/ 서버3/ 서버4. . . .이런식으로 포트포워딩한다면 안될 것 같네요. 공유기의 DMZ 해제한 상태에서도 안되는 걸로 보아 말입니다.. 아..계속 관련 웹문서/ 매뉴얼들 뒤져보고 삽질해보곤 있는데.. 도통 해결될 기색이 안보이네요.. 참, 사실 예를 ftp로 들었던 건데, ftp일 경우는 포트를 2개 쓰니..좀 복잡해질 수 도있겟네요. 이 이후에도 답변 달아주실 분이 계시면.. ftp가 아닌 ssh라고 가정해주시고 달아주셨으면 좋겠습니다. 그럼 PREROUTING 쪽이 21포트가 아닌 22포트가 되겟죠 -A PREROUTING -i eth0 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.20:22 우선 답글 달아주신 분들 감사드립니다. /박상준님 zio 공유기 사용합니다. ZIO INB5140SR /김윤술님 DMZ 해제했습니다. 그래도 전혀 안됩니다.... /김현호님 첫번째 댓글에 대해선.. 애초에 ftp는 active모드 설정으로 해놧습니다. vsftpd를 사용하는데 passive설정으로..사용 패시브포트는 5000~5005 이렇게 구성해서 iptables에 filter ACCEPT해놔도 전혀 안되더군요...그래서 active 두번째 댓글에 대해선... 말씀하신대로 그렇게 하면 쉽게 구성이 되는데 서버1(eth1)에 연결되는 컴터가 1대라는 가정(직접 연결)에서만 통용될 것 같네요. 서버1의 eth1을 스위치에 연결해서 그 밑에 서버2/ 서버3/ 서버4. . . .이런식으로 포트포워딩한다면 안될 것 같네요. 공유기의 DMZ 해제한 상태에서도 안되는 걸로 보아 말입니다.. 아..계속 관련 웹문서/ 매뉴얼들 뒤져보고 삽질해보곤 있는데.. 도통 해결될 기색이 안보이네요.. 참, 사실 예를 ftp로 들었던 건데, ftp일 경우는 포트를 2개 쓰니..좀 복잡해질 수 도있겟네요. 이 이후에도 답변 달아주실 분이 계시면.. ftp가 아닌 ssh라고 가정해주시고 달아주셨으면 좋겠습니다. 그럼 PREROUTING 쪽이 21포트가 아닌 22포트가 되겟죠 -A PREROUTING -i eth0 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.20:22



박 2009-08 제 짧은 네트웍지식으로도 현재의 구성에서는 방법이 없을듯합니다. 김윤술님의 말씀처럼 DMZ 해제하고, 포트포워딩 해주면 돼야할듯 한데요. 김현호님 말씀처럼 랜카드 하나 더 달아서 포워딩해주는것도 괜찮을듯하구요. 제 짧은 네트웍지식으로도 현재의 구성에서는 방법이 없을듯합니다. 김윤술님의 말씀처럼 DMZ 해제하고, 포트포워딩 해주면 돼야할듯 한데요. 김현호님 말씀처럼 랜카드 하나 더 달아서 포워딩해주는것도 괜찮을듯하구요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

4972/5678

번호	제목Page 4972/5678	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4940991	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4940991 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1477842	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1477842 1 백메가
14133	보드 선택! 여러분들은 저라면 어떤걸 하시겠습니까 (4)	정힘찬	2003-07	9556	7
보드 선택! 여러분들은 저라면 어떤걸 하… (4) 2003-07 9556 1 정힘찬
14132	옵테론 140질문 드립니다 (5)	이학현	2003-10	9556	7
옵테론 140질문 드립니다 (5) 2003-10 9556 1 이학현
14131	윈7에서 인터넷이 자꾸만 끊깁니다. (18)	장동건2014	2011-03	9556	0
윈7에서 인터넷이 자꾸만 끊깁니다. (18) 2011-03 9556 1 장동건2014
14130	HP 마이크로서버 Gen8 VID 파티션 해결 했습니다. (7)	테돌아이	2015-08	9557	0
HP 마이크로서버 Gen8 VID 파티션 해결 했… (7) 2015-08 9557 1 테돌아이
14129	Adaptec 29160질문입니다. (2)	정힘찬	2003-08	9557	13
Adaptec 29160질문입니다. (2) 2003-08 9557 1 정힘찬
14128	혹시 궁금한게...테더링도 IP추적이 되는지요? (4)	머리감자	2019-01	9558	0
혹시 궁금한게...테더링도 IP추적이 되는… (4) 2019-01 9558 1 머리감자
14127	우수한 레이드 카드는? (7)	고민욱	2003-04	9558	11
우수한 레이드 카드는? (7) 2003-04 9558 1 고민욱
14126	[질문] 파워질에 대해서 무식한 질문하나 드리겠습니다.	고대준	2003-09	9558	71
[질문] 파워질에 대해서 무식한 질문하나 … 2003-09 9558 1 고대준
14125	vga 질문입니다. (2)	전성훈	2004-02	9559	67
vga 질문입니다. (2) 2004-02 9559 1 전성훈
14124	CesarFTP를 정규FTP포트외에 다른 포트로 사용중이신분? (2)	김건우	2010-09	9559	0
CesarFTP를 정규FTP포트외에 다른 포트로 … (2) 2010-09 9559 1 김건우
14123	HDD에서 SATA3의 의미가 있나요? (14)	악땅	2013-11	9559	0
HDD에서 SATA3의 의미가 있나요? (14) 2013-11 9559 1 악땅
14122	SAS RAID 컨트롤러에 대해 고민중입니다. (13)	이기육	2009-06	9559	0
SAS RAID 컨트롤러에 대해 고민중입니다. (13) 2009-06 9559 1 이기육
14121	윈도우즈 서버 백신 비용? (2)	김호성	2010-04	9559	0
윈도우즈 서버 백신 비용? (2) 2010-04 9559 1 김호성
14120	Acorp 815EP메인보드 평판이 안좋아, 다시 타이안으로 구입할려는데?추천좀 (2)	신원호	2003-07	9559	15
Acorp 815EP메인보드 평판이 안좋아, 다시… (2) 2003-07 9559 1 신원호
14119	메인보드 8핀 전원 문의 (3)	경박한시민	2010-10	9559	0
메인보드 8핀 전원 문의 (3) 2010-10 9559 1 경박한시민
14118	1366 보드 비교 (3)	푸른하늘아래	2014-12	9559	0
1366 보드 비교 (3) 2014-12 9559 1 푸른하늘아래
14117	RAID에서 JBOD 모드에 관해... (4)	VINCENT	2014-04	9559	0
RAID에서 JBOD 모드에 관해... (4) 2014-04 9559 1 VINCENT
14116	올 여름을 시원하게 날 좋은 쿨러좀 추천해주세용 (8)	김달호	2003-07	9559	12
올 여름을 시원하게 날 좋은 쿨러좀 추천… (8) 2003-07 9559 1 김달호
14115	IBM ServeRAID-BR10i SAS/SATA Controller 다들 속도 잘 나오십니까? (6)	IDIA	2010-10	9559	0
IBM ServeRAID-BR10i SAS/SATA Controller… (6) 2010-10 9559 1 IDIA
14114	부팅시 키보드 인식 불량은 어떻게 하나요? (4)	박동섭	2008-10	9560	10
부팅시 키보드 인식 불량은 어떻게 하나요? (4) 2008-10 9560 1 박동섭