|
[필독] 처음 오시는 분을 위한 안내 (737) |
정은준1 |
2014-05 |
5237142 |
0 |
2014-05
5237142
1 정은준1
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1762817 |
25 |
2015-12
1762817
1 백메가
|
53150 |
VPN 클라이언트가 공유기 밑 공유기 에 연결되어 있으면.. (2) |
이해하면오… |
2014-09 |
4932 |
0 |
2014-09
4932
1 이해하면오…
|
53149 |
NAS+Git서버+VDI 이미지서버 가능할까요? |
박현문 |
2014-09 |
5909 |
0 |
2014-09
5909
1 박현문
|
53148 |
2U 케이스에 일반 ATM 보드 괜찮을까요? (4) |
임진욱 |
2014-09 |
4299 |
0 |
2014-09
4299
1 임진욱
|
53147 |
델 T7610 이륙현상 (11) |
제상현 |
2014-09 |
5143 |
0 |
2014-09
5143
1 제상현
|
53146 |
USB모니터 사용하고 계신분들 있습니까? (2) |
힘내자 |
2014-09 |
4706 |
0 |
2014-09
4706
1 힘내자
|
53145 |
Mikrotik에 DMZ설정을 하고 싶습니다. (1) |
NaN |
2014-09 |
7234 |
0 |
2014-09
7234
1 NaN
|
53144 |
장터상단에 사기정보검색 안되네요. (1) |
천마건빵 |
2014-09 |
4104 |
0 |
2014-09
4104
1 천마건빵
|
53143 |
CPU 쿨러의 성능차이가 많을까요? (5) |
VSPress |
2014-09 |
9175 |
0 |
2014-09
9175
1 VSPress
|
53142 |
HP 레이저젯 펌웨어 업데이트 해보신분 계신가요? (1) |
윤경식 |
2014-09 |
4288 |
0 |
2014-09
4288
1 윤경식
|
53141 |
[답변] AliasMaster님의 질문에 대한 답변이에요. (FTP 포트) |
하늘하늘 |
2014-09 |
4802 |
0 |
2014-09
4802
1 하늘하늘
|
53140 |
3D TV 를 컴퓨터에 연결시 괜찮나요? (1) |
2CPU최주희 |
2014-09 |
4085 |
0 |
2014-09
4085
1 2CPU최주희
|
53139 |
우분투를 한번 사용해보고 싶습니다. (10) |
장동건2014 |
2014-09 |
4612 |
0 |
2014-09
4612
1 장동건2014
|
53138 |
xw8200 케이스에 15K SAS하드 써도 열문제 없을까요? (1) |
윈도우10 |
2014-09 |
4056 |
0 |
2014-09
4056
1 윈도우10
|
53137 |
771 하퍼타운 사용시 쿨러는 기존 듀얼코어 쿨러를 사용해도 문제가 없을까요? (9) |
박만우 |
2014-09 |
5828 |
0 |
2014-09
5828
1 박만우
|
53136 |
외장하드 흔적 관련 (5) |
Nikon |
2014-09 |
11301 |
0 |
2014-09
11301
1 Nikon
|
53135 |
제발 도와주세요.. (6) |
BDGG |
2014-09 |
4267 |
0 |
2014-09
4267
1 BDGG
|
53134 |
Gen8에 윈도우 8.1 설치 가능한가요? (3) |
KPD |
2014-09 |
5181 |
0 |
2014-09
5181
1 KPD
|
53133 |
t5500 3테라 하드 분할인식? (6) |
불후스리 |
2014-09 |
5836 |
0 |
2014-09
5836
1 불후스리
|
53132 |
이런 상태의 Raid Crash 는 살릴수 없을까요? (6) |
임진욱 |
2014-09 |
4193 |
0 |
2014-09
4193
1 임진욱
|
53131 |
DL180 G6 팬 속도 문의드립니다. (12) |
천외천oo노… |
2014-09 |
6116 |
0 |
2014-09
6116
1 천외천oo노…
|
먼저 DMZ 룰이 조금 이상한데요,
/ip firewall nat의 #DMZ로 표시한 두 줄은 사실 DMZ 룰이 아니고 필요 없는 룰이므로 삭제하시면 되고
실제 DMZ 룰은 그 위 두 줄인데, 두 줄 따로 설정하는 것보다는 아래처럼 고치는 것이 나을 겁니다.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5
그 다음 hairpin nat를 위한 룰을 추가해줍니다.
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5
이 룰이 필요한 이유는 간단합니다.
192.168.0.100이란 호스트가 61.79.249.AAA:12345 포트로 접속을 시도하면 DMZ룰에 의해서 패킷의 목적지 주소가 192.168.0.5로 변환되어서 192.168.0.5로 전달되는데, 이때 패킷의 출발지 주소가 192.168.0.100이므로 192.168.0.5는 이 패킷에 답장을 할 때 라우터를 거치지 않고 바로 192.168.0.100으로 패킷을 보냅니다. 이때 답장 패킷의 출발지 주소는 192.168.0.5인데, 192.168.0.100이 기대하는 출발지 주소는 61.79.249.AAA에 접속했다고 생각하고 있으므로 61.79.249.AAA였을 것입니다. 그런데 돌아온 답장 패킷의 출발지 주소는 192.168.0.5이므로 이 패킷은 버려지게 됩니다. 따라서 통신이 이뤄지지 않습니다.
그래서 처음 192.168.0.100이 목적지 주소를 바꾼 후에 또 다시 출발지 주소를 바꿔줘야 하는 것입니다. 목적지 주소를 61.79.249.AAA에서 192.168.0.5로 바꾼 후에 바로 출발지 주소를 라우터의 주소로 변환해주는 것입니다. 이렇게 되면 192.168.0.5가 패킷을 받았을 때 출발지 주소가 라우터의 주소이므로 라우터에게 답장 패킷을 보낼 것이고, 라우터는 주소를 변환했던 사실을 기억하고 있으므로 라우터의 주소였던 목적지 주소를 다시 192.168.0.100으로 고쳐줘서 192.168.0.100으로 되돌려보내주는 것입니다.
한 망에서 라우터를 거쳤다가 다시 같은 망으로 패킷이 되돌아가는 모습이 머리핀과 유사하다 하여 hairpin nat라고 자주 불립니다.
좀 더 자세한 내용은 http://wiki.mikrotik.com/wiki/Hairpin_NAT 에서 참조하시면 됩니다.
다 하고 나면 방화벽 룰은 다음처럼 될겁니다.
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=udp to-addresses=192.168.0.108 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=tcp to-addresses=192.168.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=tcp to-addresses=192.168.0.51 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=60728 protocol=tcp to-addresses=192.168.0.108 to-ports=\
60728
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=udp to-addresses=192.168.0.108 to-ports=51
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=tcp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=udp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=4321 protocol=tcp to-addresses=192.168.0.108 to-ports=80
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=210 protocol=tcp to-addresses=192.168.0.5 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=9877 protocol=tcp to-addresses=192.168.0.107 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5 #DMZ
add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5 #Hairpin NAT for DMZ
add action=masquerade chain=srcnat out-interface=bridge2_WAN