다람쥐v 2014-09

내부에서 포트 포워딩된 외부 아이피의 포트로 접속했을 때 접속이 안되는 건 DMZ룰이 문제가 아니라 hairpin nat가 설정되어있지 않아서 그러합니다.

먼저 DMZ 룰이 조금 이상한데요,
/ip firewall nat의 #DMZ로 표시한 두 줄은 사실 DMZ 룰이 아니고 필요 없는 룰이므로 삭제하시면 되고
실제 DMZ 룰은 그 위 두 줄인데, 두 줄 따로 설정하는 것보다는 아래처럼 고치는 것이 나을 겁니다.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5

그 다음 hairpin nat를 위한 룰을 추가해줍니다.

/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5

이 룰이 필요한 이유는 간단합니다.

192.168.0.100이란 호스트가 61.79.249.AAA:12345 포트로 접속을 시도하면 DMZ룰에 의해서 패킷의 목적지 주소가 192.168.0.5로 변환되어서 192.168.0.5로 전달되는데, 이때 패킷의 출발지 주소가 192.168.0.100이므로 192.168.0.5는 이 패킷에 답장을 할 때 라우터를 거치지 않고 바로 192.168.0.100으로 패킷을 보냅니다. 이때 답장 패킷의 출발지 주소는 192.168.0.5인데, 192.168.0.100이 기대하는 출발지 주소는 61.79.249.AAA에 접속했다고 생각하고 있으므로 61.79.249.AAA였을 것입니다. 그런데 돌아온 답장 패킷의 출발지 주소는 192.168.0.5이므로 이 패킷은 버려지게 됩니다. 따라서 통신이 이뤄지지 않습니다.

그래서 처음 192.168.0.100이 목적지 주소를 바꾼 후에 또 다시 출발지 주소를 바꿔줘야 하는 것입니다. 목적지 주소를 61.79.249.AAA에서 192.168.0.5로 바꾼 후에 바로 출발지 주소를 라우터의 주소로 변환해주는 것입니다. 이렇게 되면 192.168.0.5가 패킷을 받았을 때 출발지 주소가 라우터의 주소이므로 라우터에게 답장 패킷을 보낼 것이고, 라우터는 주소를 변환했던 사실을 기억하고 있으므로 라우터의 주소였던 목적지 주소를 다시 192.168.0.100으로 고쳐줘서 192.168.0.100으로 되돌려보내주는 것입니다.

한 망에서 라우터를 거쳤다가 다시 같은 망으로 패킷이 되돌아가는 모습이 머리핀과 유사하다 하여 hairpin nat라고 자주 불립니다.

좀 더 자세한 내용은 http://wiki.mikrotik.com/wiki/Hairpin_NAT 에서 참조하시면 됩니다.

다 하고 나면 방화벽 룰은 다음처럼 될겁니다.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=udp to-addresses=192.168.0.108 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=tcp to-addresses=192.168.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=tcp to-addresses=192.168.0.51 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=60728 protocol=tcp to-addresses=192.168.0.108 to-ports=\
    60728
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=udp to-addresses=192.168.0.108 to-ports=51
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=tcp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=udp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=4321 protocol=tcp to-addresses=192.168.0.108 to-ports=80
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=210 protocol=tcp to-addresses=192.168.0.5 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=9877 protocol=tcp to-addresses=192.168.0.107 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5 #DMZ
add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5 #Hairpin NAT for DMZ
add action=masquerade chain=srcnat out-interface=bridge2_WAN