|
|
[필독] 처음 오시는 분을 위한 안내 (737) |
정은준1 |
2014-05 |
5219165 |
0 |
|
2014-05
5219165
1 정은준1
|
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
 백메가 |
2015-12 |
1748339 |
25 |
|
2015-12
1748339
1 백메가
|
|
5113 |
gen8 오전 9시 팬 소음 발생. (2) |
깅또깡 |
2018-01 |
4362 |
0 |
|
2018-01
4362
1 깅또깡
|
|
5112 |
전류 높은 원형 전원잭 있을까요? (11) |
컴박 |
2021-10 |
2188 |
0 |
|
2021-10
2188
1 컴박
|
|
5111 |
안녕하세요 2cpu구성해보고싶어서 가입하게되었습니다.. 전문가 분들에게 질문좀 드… (12) |
Wnahd |
2018-01 |
4138 |
0 |
|
2018-01
4138
1 Wnahd
|
|
5110 |
공유가 안됩니다 도움좀 주세요 (7) |
류재하 |
2006-05 |
5703 |
8 |
|
2006-05
5703
1 류재하
|
|
5109 |
이런 기기제작은 난이도가 높을까요? (18) |
두포리 |
2015-12 |
4956 |
0 |
|
2015-12
4956
1 두포리
|
|
5108 |
divx 추천좀.. |
전재현 |
2006-05 |
5683 |
20 |
|
2006-05
5683
1 전재현
|
|
5107 |
pc에 해상도 안맞는 모니터를 연결하였을 때 어떻게 조정해서 띄울 수 있나요? (2) |
김건우 |
2015-12 |
4698 |
0 |
|
2015-12
4698
1 김건우
|
|
5106 |
SLI 구성할 수 있을까요... (3) |
남성룡 |
2006-05 |
7087 |
15 |
|
2006-05
7087
1 남성룡
|
|
5105 |
Xeon LV(소사맨) 사용하는 블레이드 서버 제품 몇가지 알려주시겠습니까? (3) |
박찬민 |
2006-05 |
6162 |
20 |
|
2006-05
6162
1 박찬민
|
|
5104 |
SR2300 샤시에 넣을 수 있는 가장 최근의 보드는? |
미소찍사 |
2009-12 |
7278 |
0 |
|
2009-12
7278
1 미소찍사
|
|
5103 |
질문입니다. (1) |
EYESSHOT |
2013-01 |
5371 |
0 |
|
2013-01
5371
1 EYESSHOT
|
|
5102 |
슈퍼마이크로 X8SAX 1366보드에 8GB 2개나 12GB 인식할까요.. (9) |
알파고 |
2016-11 |
5562 |
0 |
|
2016-11
5562
1 알파고
|
|
5101 |
인터넷 공유에 대한 질문입니다. (8) |
김도형 |
2003-10 |
12178 |
76 |
|
2003-10
12178
1 김도형
|
|
5100 |
[질문] 쿼드로 그래픽카드 리스팅..해놓은곳 없을까요.? (2) |
 나너우리 |
2009-12 |
7303 |
0 |
|
2009-12
7303
1 나너우리
|
|
5099 |
esxi에서 zfs 파일서버 os 뭐가 좋나요? (8) |
병따개님 |
2020-06 |
4396 |
0 |
|
2020-06
4396
1 병따개님
|
|
5098 |
vmware esxi6.7버전과 vcsa 6.7버전 설치파일 얻을 수 있을까요? |
쿨쿨쿨 |
2020-06 |
2857 |
0 |
|
2020-06
2857
1 쿨쿨쿨
|
|
5097 |
기존 윈도우 정품을 새 PC에 옮겨올 방법이...? (17) |
더블로 |
2019-03 |
5207 |
0 |
|
2019-03
5207
1 더블로
|
|
5096 |
Linux (cenos, fedora 등) HW 정보를 알 수 있는 방법 또는 프로그램이 있을까요? (7) |
서울사람 |
2018-01 |
4474 |
0 |
|
2018-01
4474
1 서울사람
|
|
5095 |
HP ProBook 450 G2 - 윈도7 문제 (5) |
앙드레준 |
2016-12 |
5699 |
0 |
|
2016-12
5699
1 앙드레준
|
|
5094 |
홈페이지용NAS만들려고합니다 (6) |
갓영구 |
2018-01 |
3901 |
0 |
|
2018-01
3901
1 갓영구
|
먼저 DMZ 룰이 조금 이상한데요,
/ip firewall nat의 #DMZ로 표시한 두 줄은 사실 DMZ 룰이 아니고 필요 없는 룰이므로 삭제하시면 되고
실제 DMZ 룰은 그 위 두 줄인데, 두 줄 따로 설정하는 것보다는 아래처럼 고치는 것이 나을 겁니다.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5
그 다음 hairpin nat를 위한 룰을 추가해줍니다.
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5
이 룰이 필요한 이유는 간단합니다.
192.168.0.100이란 호스트가 61.79.249.AAA:12345 포트로 접속을 시도하면 DMZ룰에 의해서 패킷의 목적지 주소가 192.168.0.5로 변환되어서 192.168.0.5로 전달되는데, 이때 패킷의 출발지 주소가 192.168.0.100이므로 192.168.0.5는 이 패킷에 답장을 할 때 라우터를 거치지 않고 바로 192.168.0.100으로 패킷을 보냅니다. 이때 답장 패킷의 출발지 주소는 192.168.0.5인데, 192.168.0.100이 기대하는 출발지 주소는 61.79.249.AAA에 접속했다고 생각하고 있으므로 61.79.249.AAA였을 것입니다. 그런데 돌아온 답장 패킷의 출발지 주소는 192.168.0.5이므로 이 패킷은 버려지게 됩니다. 따라서 통신이 이뤄지지 않습니다.
그래서 처음 192.168.0.100이 목적지 주소를 바꾼 후에 또 다시 출발지 주소를 바꿔줘야 하는 것입니다. 목적지 주소를 61.79.249.AAA에서 192.168.0.5로 바꾼 후에 바로 출발지 주소를 라우터의 주소로 변환해주는 것입니다. 이렇게 되면 192.168.0.5가 패킷을 받았을 때 출발지 주소가 라우터의 주소이므로 라우터에게 답장 패킷을 보낼 것이고, 라우터는 주소를 변환했던 사실을 기억하고 있으므로 라우터의 주소였던 목적지 주소를 다시 192.168.0.100으로 고쳐줘서 192.168.0.100으로 되돌려보내주는 것입니다.
한 망에서 라우터를 거쳤다가 다시 같은 망으로 패킷이 되돌아가는 모습이 머리핀과 유사하다 하여 hairpin nat라고 자주 불립니다.
좀 더 자세한 내용은 http://wiki.mikrotik.com/wiki/Hairpin_NAT 에서 참조하시면 됩니다.
다 하고 나면 방화벽 룰은 다음처럼 될겁니다.
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=udp to-addresses=192.168.0.108 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=1723 protocol=tcp to-addresses=192.168.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=tcp to-addresses=192.168.0.51 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=60728 protocol=tcp to-addresses=192.168.0.108 to-ports=\
60728
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=22 protocol=udp to-addresses=192.168.0.108 to-ports=51
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=tcp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=220 protocol=udp to-addresses=192.168.0.108 to-ports=22
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=4321 protocol=tcp to-addresses=192.168.0.108 to-ports=80
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=210 protocol=tcp to-addresses=192.168.0.5 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA dst-port=9877 protocol=tcp to-addresses=192.168.0.107 to-ports=3389
add action=dst-nat chain=dstnat dst-address=61.79.249.AAA to-addresses=192.168.0.5 #DMZ
add action=masquerade chain=srcnat out-interface=bridge1_Local src-address=192.168.0.0/24 dst-address=192.168.0.5 #Hairpin NAT for DMZ
add action=masquerade chain=srcnat out-interface=bridge2_WAN