제가 개발하는 프로젝트 특성 상 포트를 많이 열어 놓고
유동적으로 포트를 변경을 하기 때문에 매번 포트를 지정해서 포워딩하기에는 많이 무리가 있습니다.
그리하여서 이전에는 D-link사의 공유기를 사용중일때에는 DMZ기능을 활용하여서 망내의 특정 MAC을 가진 컴퓨터를 외부로 바로 노출을 시키어서 사용 하였는데요.
검색을 해 보아서 그나마 잘 작동되는 설정을 사용 중이나
현재 설정으로는 DMZ로 설정된 192.168.0.5이외의 내부망에서 외부아이피 61.79.249.AAA로 접속시 접속이 되질 않습니다.
혼자서 해보다가 도저히 해결이 되지 않아 회원 여러분께 질문을 구해봅니다.
콘픽 파일을 첨부파일로 올려드렸습니다.
간략하게 환경을 설명을 해드리자면
외부 IP는 61.79.249.AAA이며
현재 450은 192.168.0.1로 되어있고
DMZ의 타겟이 될 컴퓨터는 192.168.0.5로 되어있으며
내부망의 일부 아이피의 특정포트만 DMZ보다 우선으로 적용되게 사용중입니다
가령 외부에서 22번포트로 접속시 192.168.0.51의 22번 포트로 가지만
80번포트는 따로 설정을 해주지 않았기때문에 DMZ쪽의 설정으로 192.168.0.5의 80번 포트로 넘어갑니다.
¸ÕÀú DMZ ·êÀÌ Á¶±Ý ÀÌ»óÇѵ¥¿ä,
/ip firewall natÀÇ #DMZ·Î Ç¥½ÃÇÑ µÎ ÁÙÀº »ç½Ç DMZ ·êÀÌ ¾Æ´Ï°í ÇÊ¿ä ¾ø´Â ·êÀ̹ǷΠ»èÁ¦ÇÏ½Ã¸é µÇ°í
½ÇÁ¦ DMZ ·êÀº ±× À§ µÎ ÁÙÀε¥, µÎ ÁÙ µû·Î ¼³Á¤ÇÏ´Â °Íº¸´Ù´Â ¾Æ·¡Ã³·³ °íÄ¡´Â °ÍÀÌ ³ªÀ» °Ì´Ï´Ù.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5
±× ´ÙÀ½ hairpin nat¸¦ À§ÇÑ ·êÀ» Ãß°¡ÇØÁÝ´Ï´Ù.
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5
ÀÌ ·êÀÌ ÇÊ¿äÇÑ ÀÌÀ¯´Â °£´ÜÇÕ´Ï´Ù.
192.168.0.100À̶õ È£½ºÆ®°¡ 61.79.249.AAA:12345 Æ÷Æ®·Î Á¢¼ÓÀ» ½ÃµµÇϸé DMZ·ê¿¡ ÀÇÇؼ ÆÐŶÀÇ ¸ñÀûÁö ÁÖ¼Ò°¡ 192.168.0.5·Î º¯È¯µÇ¾î¼ 192.168.0.5·Î Àü´ÞµÇ´Âµ¥, À̶§ ÆÐŶÀÇ Ãâ¹ßÁö ÁÖ¼Ò°¡ 192.168.0.100À̹ǷΠ192.168.0.5´Â ÀÌ ÆÐŶ¿¡ ´äÀåÀ» ÇÒ ¶§ ¶ó¿ìÅ͸¦ °ÅÄ¡Áö ¾Ê°í ¹Ù·Î 192.168.0.100À¸·Î ÆÐŶÀ» º¸³À´Ï´Ù. À̶§ ´äÀå ÆÐŶÀÇ Ãâ¹ßÁö ÁÖ¼Ò´Â 192.168.0.5Àε¥, 192.168.0.100ÀÌ ±â´ëÇÏ´Â Ãâ¹ßÁö ÁÖ¼Ò´Â 61.79.249.AAA¿¡ Á¢¼ÓÇß´Ù°í »ý°¢ÇÏ°í ÀÖÀ¸¹Ç·Î 61.79.249.AAA¿´À» °ÍÀÔ´Ï´Ù. ±×·±µ¥ µ¹¾Æ¿Â ´äÀå ÆÐŶÀÇ Ãâ¹ßÁö ÁÖ¼Ò´Â 192.168.0.5À̹ǷΠÀÌ ÆÐŶÀº ¹ö·ÁÁö°Ô µË´Ï´Ù. µû¶ó¼ Åë½ÅÀÌ ÀÌ·ïÁöÁö ¾Ê½À´Ï´Ù.
±×·¡¼ óÀ½ 192.168.0.100ÀÌ ¸ñÀûÁö ÁÖ¼Ò¸¦ ¹Ù²Û ÈÄ¿¡ ¶Ç ´Ù½Ã Ãâ¹ßÁö ÁÖ¼Ò¸¦ ¹Ù²ãÁà¾ß ÇÏ´Â °ÍÀÔ´Ï´Ù. ¸ñÀûÁö ÁÖ¼Ò¸¦ 61.79.249.AAA¿¡¼ 192.168.0.5·Î ¹Ù²Û ÈÄ¿¡ ¹Ù·Î Ãâ¹ßÁö ÁÖ¼Ò¸¦ ¶ó¿ìÅÍÀÇ ÁÖ¼Ò·Î º¯È¯ÇØÁÖ´Â °ÍÀÔ´Ï´Ù. ÀÌ·¸°Ô µÇ¸é 192.168.0.5°¡ ÆÐŶÀ» ¹Þ¾ÒÀ» ¶§ Ãâ¹ßÁö ÁÖ¼Ò°¡ ¶ó¿ìÅÍÀÇ ÁÖ¼ÒÀ̹ǷΠ¶ó¿ìÅÍ¿¡°Ô ´äÀå ÆÐŶÀ» º¸³¾ °ÍÀÌ°í, ¶ó¿ìÅÍ´Â ÁÖ¼Ò¸¦ º¯È¯Çß´ø »ç½ÇÀ» ±â¾ïÇÏ°í ÀÖÀ¸¹Ç·Î ¶ó¿ìÅÍÀÇ ÁÖ¼Ò¿´´ø ¸ñÀûÁö ÁÖ¼Ò¸¦ ´Ù½Ã 192.168.0.100À¸·Î °íÃÄÁ༠192.168.0.100À¸·Î µÇµ¹·Áº¸³»ÁÖ´Â °ÍÀÔ´Ï´Ù.
ÇÑ ¸Á¿¡¼ ¶ó¿ìÅ͸¦ °ÅÃÆ´Ù°¡ ´Ù½Ã °°Àº ¸ÁÀ¸·Î ÆÐŶÀÌ µÇµ¹¾Æ°¡´Â ¸ð½ÀÀÌ ¸Ó¸®ÇÉ°ú À¯»çÇÏ´Ù ÇÏ¿© hairpin nat¶ó°í ÀÚÁÖ ºÒ¸³´Ï´Ù.
Á» ´õ ÀÚ¼¼ÇÑ ³»¿ëÀº http://wiki.mikrotik.com/wiki/Hairpin_NAT ¿¡¼ ÂüÁ¶ÇÏ½Ã¸é µË´Ï´Ù.
´Ù ÇÏ°í ³ª¸é ¹æȺ® ·êÀº ´ÙÀ½Ã³·³ µÉ°Ì´Ï´Ù.
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=udp to-addresses=192.168.0.108 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=tcp to-addresses=192.168.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=tcp to-addresses=192.168.0.51 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=60728 protocol=tcp to-addresses=192.168.0.108 to-ports=\
60728
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=udp to-addresses=192.168.0.108 to-ports=51
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=tcp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=udp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=4321 protocol=tcp to-addresses=192.168.0.108 to-ports=80
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=210 protocol=tcp to-addresses=192.168.0.5 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=9877 protocol=tcp to-addresses=192.168.0.107 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5 #DMZ
add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5 #Hairpin NAT for DMZ
add action=masquerade chain=srcnat out-interface=bridge2_WAN