pfSense 에서 port forward 하는 방법 :: 2cpu, 지름이 시작되는 곳!

쓰기

pfSense 에서 port forward 하는 방법

2017-12

2017-12-26 12:02:25

조회 11626 추천 0

haproxy 로 TCP 을 port forward 해서 사용중인데, 특정 서비스가 TCP/UDP 을 모두 이용하고 있어서 pfSense 의 NAT 로 port forward 을 설정했는데 forwarding 이 안되서 질문 드립니다.

"Firewall > NAT > Port Forward" 에서 Add 을 해서 추가를 했고, pfSense 마스터 책과 구글 동영상 보고 Destination 에 WAN 와 접속포트를, redirect target 에 내부에 있는 서버의 IP 와 포트 시작번호(어짜피 포트는 1개만 설정했습니다)을 설정했습니다.

또 다른 설정이 필요할까요?

그리고 Diagnostics > Sockets 에서 haproxy 가 Reverse Proxy 로 port forward 하는 포트는 보이는데, Firewall NAT 로 port forward 하는건 확인할 방법이 없는 건가요? 로그도 못찾겠고...원인을 도저히 모르겠네요.

조언 부탁드립니다.

짧은글 일수록 신중하게.



henol 2017-12 제가 포트포워딩 설정을 하나 추가할때는 firewall의 rules에도 자동 추가할거냐 라고 pfsense가 물어봤던거 같습니다. 그래서 firewall의 rules에도 pass 액션으로 추가되야 될겁니다. Rules의 WAN 리스트에 있나 확인해보시고 없으면 넣어보세요. 제가 포트포워딩 설정을 하나 추가할때는 firewall의 rules에도 자동 추가할거냐 라고 pfsense가 물어봤던거 같습니다. 그래서 firewall의 rules에도 pass 액션으로 추가되야 될겁니다. Rules의 WAN 리스트에 있나 확인해보시고 없으면 넣어보세요.



s김종화z 2017-12 조언 고맙습니다. 말씀하신 내용은 Filter rule association 에 추가해서 본문에 추가시킨 이미지처럼 Rules 에 추가된 것을 말하는 것 같은데...이렇게 되어 있으면 되지 않나요? 현재는 테스트를 위해 TCP 만 설정하였고, WAN 의 9003 포트로 들어오면 내부의 10.255.101.102 (WAN 대역이고, LAN 대역의 172.31.101.102 로도 접근 가능) 서버의 24224 포트로 forward 하려는 설정입니다. fluentd (td-agent) 라는 log 수집 애플리케이션이 이용하는 포트입니다. 조언 고맙습니다. 말씀하신 내용은 Filter rule association 에 추가해서 본문에 추가시킨 이미지처럼 Rules 에 추가된 것을 말하는 것 같은데...이렇게 되어 있으면 되지 않나요? 현재는 테스트를 위해 TCP 만 설정하였고, WAN 의 9003 포트로 들어오면 내부의 10.255.101.102 (WAN 대역이고, LAN 대역의 172.31.101.102 로도 접근 가능) 서버의 24224 포트로 forward 하려는 설정입니다. fluentd (td-agent) 라는 log 수집 애플리케이션이 이용하는 포트입니다.



henol 2017-12 WAN/LAN 설정에서 Block private networks도 풀어보고 그래도 안되시면 다른설정이 영향이 있을것 같아요. Status에서 system log > firewall 로그를 보시고 혹시 블록하고 있는건 아닌지. WAN/LAN 설정에서 Block private networks도 풀어보고 그래도 안되시면 다른설정이 영향이 있을것 같아요. Status에서 system log > firewall 로그를 보시고 혹시 블록하고 있는건 아닌지.



s김종화z 2017-12 firewall 은 block 되고 있지 않는 것으로 보입니다. 같은 서버에서 다른 포트로 haproxy 로 연결하는게 있는데 별다른 설정 없이 잘 접속되고 있고, haproxy 대신에 nat 로 설정 바꿔봐도 제대로 접속이 안되네요. haproxy 때문인가 싶어서 haproxy 을 shutdown 시켜도 마찬가지구요. 포워딩 되는 서버의 iptables 도 꺼져있는 상태입니다. 그리고 block private networks 을 꺼도 마찬가지입니다. firewall 은 block 되고 있지 않는 것으로 보입니다. 같은 서버에서 다른 포트로 haproxy 로 연결하는게 있는데 별다른 설정 없이 잘 접속되고 있고, haproxy 대신에 nat 로 설정 바꿔봐도 제대로 접속이 안되네요. haproxy 때문인가 싶어서 haproxy 을 shutdown 시켜도 마찬가지구요. 포워딩 되는 서버의 iptables 도 꺼져있는 상태입니다. 그리고 block private networks 을 꺼도 마찬가지입니다.



henol 2017-12 별다른 설정을 안하셨으면 잘 되야되는데 안타깝네요. 제 경우를 말씀드리면 NAT 설정은 김종화님과 당연히 비슷하고 Outbound도 오토NAT모드, Mappings는 없고, Automatic rules 에 interface - WAN source - 127.0.0.0 (그리고 아마도) 172.31.101.0 머 이렇게 두줄 혹은 한줄만 있으면 되는데요. Status의 gateway도 WAN게이트웨이가 online 되어있고요. 별다른 설정을 안하셨으면 잘 되야되는데 안타깝네요. 제 경우를 말씀드리면 NAT 설정은 김종화님과 당연히 비슷하고 Outbound도 오토NAT모드, Mappings는 없고, Automatic rules 에 interface - WAN source - 127.0.0.0 (그리고 아마도) 172.31.101.0 머 이렇게 두줄 혹은 한줄만 있으면 되는데요. Status의 gateway도 WAN게이트웨이가 online 되어있고요.



s김종화z 2017-12 automatic rules 쪽이 좀 이상하네요... 10.255.101.10 / 24 (gateway 는 1, 10 은 pfsense) 가 WAN 이고, 172.31.101.10 /24 (마찬가지로 gateway 가 1, 10은 pfsense) 가 LAN 인데... 127.0.0.0/8 와 172.16.0.0/12 이 LAN/WAN 모두에 rules 로 들어가있네요. Auto created rule for ISAKMP (static port 500) 와 Auto created rule 가 하나씩 있는데...뭘 의미하는지 모르겠네요. 이 부분 때문에 그럴까요? outbound 쪽이라 대세에는 영향이 없으리라 생각되지만요... automatic rules 쪽이 좀 이상하네요... 10.255.101.10 / 24 (gateway 는 1, 10 은 pfsense) 가 WAN 이고, 172.31.101.10 /24 (마찬가지로 gateway 가 1, 10은 pfsense) 가 LAN 인데... 127.0.0.0/8 와 172.16.0.0/12 이 LAN/WAN 모두에 rules 로 들어가있네요. Auto created rule for ISAKMP (static port 500) 와 Auto created rule 가 하나씩 있는데...뭘 의미하는지 모르겠네요. 이 부분 때문에 그럴까요? outbound 쪽이라 대세에는 영향이 없으리라 생각되지만요...



s김종화z 2017-12 영어가 짧아...정확한 내용을 이해하진 못했지만, 그래도 이 상황에서 가장 비슷한 증상 같은데... https://forum.pfsense.org/index.php?topic=86979.0 제 구성이...pfSense 가 기본 gateway 가 아닙니다. 쬐금 난해하게 되어 있는데, 2 개의 vlan 이 있고, 각각을 설정해준 장비가 있고, pfSense 는 각각의 vlan 을 하나의 ethernet 으로 받아서 각각의 대역에 IP 을 DHCP Server 로 분배하는 역할을 하고 있습니다. 이 중 하나는 외부의 공인IP 와 매핑이 외부에서 되고 있으며 이 대역으론 사용자가 접근 안되며, 다른 한 대역은 사용자가 접속이 가능한데 DHCP Server 에서 route 정보를 변경해서 내려줍니다(망 구성이 뭐 이런지...). 위 링크대로라면 기본 gateway 가 pfSense 가 아니라서 그런게 아닌가 싶기도 하고...좀 난해하네요. haproxy 처럼 L4 을 지원하는 별도의 추가 애플리케이션이 있어서 이를 설정할 수 있으면 좋겠는데...없는 것 같네요. haproxy 는 udp 가 안되고...내부에서 nginx 을 별도로 깔아서 쓰는 방법은 관리하기 번거로워서 쓰기 힘들고...휴... 영어가 짧아...정확한 내용을 이해하진 못했지만, 그래도 이 상황에서 가장 비슷한 증상 같은데... https://forum.pfsense.org/index.php?topic=86979.0 제 구성이...pfSense 가 기본 gateway 가 아닙니다. 쬐금 난해하게 되어 있는데, 2 개의 vlan 이 있고, 각각을 설정해준 장비가 있고, pfSense 는 각각의 vlan 을 하나의 ethernet 으로 받아서 각각의 대역에 IP 을 DHCP Server 로 분배하는 역할을 하고 있습니다. 이 중 하나는 외부의 공인IP 와 매핑이 외부에서 되고 있으며 이 대역으론 사용자가 접근 안되며, 다른 한 대역은 사용자가 접속이 가능한데 DHCP Server 에서 route 정보를 변경해서 내려줍니다(망 구성이 뭐 이런지...). 위 링크대로라면 기본 gateway 가 pfSense 가 아니라서 그런게 아닌가 싶기도 하고...좀 난해하네요. haproxy 처럼 L4 을 지원하는 별도의 추가 애플리케이션이 있어서 이를 설정할 수 있으면 좋겠는데...없는 것 같네요. haproxy 는 udp 가 안되고...내부에서 nginx 을 별도로 깔아서 쓰는 방법은 관리하기 번거로워서 쓰기 힘들고...휴...



henol 2017-12 제가 잘 이해를 못해서;; 제 상황을 말씀드리면 이렇습니다. 저희는 인터넷회선을 WAN에 연결하고 쓰는터라 WAN은 DHCP설정을 해서 게이트웨이 주소를 알아서 받아옵니다. System>Routing 을 보면 디폴트게이트웨이로 그 주소가 설정되있습니다. 김종화님은 static인것 같으니 10.255.101.1 인가요?.. LAN설정의 경우는 DHCP돌리는 것 정도입니다. 이게 좀 다르네요. 저는 pfsense LAN포트가 x.x.x.1이긴합니다만 저같이 공유기+단순방화벽 정도의 WAN-LAN 구조라면 Interfaces>LAN 에서 upstream gateway는 None 입니다. 제가 좀 힘겨워던게 upstream gateway를 pfsense LAN포트에 할당한 x.x.x.1로 설정하는바람에 내부에서 외부로의 인터넷은 전혀 안되고 오히려 NAT은 잘되었었죠. 불과 2주전에요; 그래서.. 위 답글들의 NAT설정을 하다보니 어느새? Firewall>NAT>Outbound 에 말씀하신 오토룰이 달랑 두개 쌓여있더군요. Interface - Source - SourcePort - Dest - Dest Port - NAT Addr - NAT port - Desc WAN - 127.0.0.0 x.x.x.0 - * - * - 500 - WAN Addr - * - Auto created rule for ISAKMP WAN - 127.0.0.0 x.x.x.0 - * - * - * - WAN Addr - * - Auto created rule 단순히 위 x.x.x.0 -> 이부분이 172.31.101.0 으로 되도록 해보시는건 어떨까요. 제가 잘 이해를 못해서;; 제 상황을 말씀드리면 이렇습니다. 저희는 인터넷회선을 WAN에 연결하고 쓰는터라 WAN은 DHCP설정을 해서 게이트웨이 주소를 알아서 받아옵니다. System>Routing 을 보면 디폴트게이트웨이로 그 주소가 설정되있습니다. 김종화님은 static인것 같으니 10.255.101.1 인가요?.. LAN설정의 경우는 DHCP돌리는 것 정도입니다. 이게 좀 다르네요. 저는 pfsense LAN포트가 x.x.x.1이긴합니다만 저같이 공유기+단순방화벽 정도의 WAN-LAN 구조라면 Interfaces>LAN 에서 upstream gateway는 None 입니다. 제가 좀 힘겨워던게 upstream gateway를 pfsense LAN포트에 할당한 x.x.x.1로 설정하는바람에 내부에서 외부로의 인터넷은 전혀 안되고 오히려 NAT은 잘되었었죠. 불과 2주전에요; 그래서.. 위 답글들의 NAT설정을 하다보니 어느새? Firewall>NAT>Outbound 에 말씀하신 오토룰이 달랑 두개 쌓여있더군요. Interface - Source - SourcePort - Dest - Dest Port - NAT Addr - NAT port - Desc WAN - 127.0.0.0 x.x.x.0 - * - * - 500 - WAN Addr - * - Auto created rule for ISAKMP WAN - 127.0.0.0 x.x.x.0 - * - * - * - WAN Addr - * - Auto created rule 단순히 위 x.x.x.0 -> 이부분이 172.31.101.0 으로 되도록 해보시는건 어떨까요.



s김종화z 2017-12 outbound 에 172.31.101.0 으로 하는 건 해봤습니다. ^^;; 역시나 안되더군요...T.T 지금 하고 있는 장비의 gateway 는 .1 인데, pfsense 는 .10 입니다. outbound 에 172.31.101.0 으로 하는 건 해봤습니다. ^^;; 역시나 안되더군요...T.T 지금 하고 있는 장비의 gateway 는 .1 인데, pfsense 는 .10 입니다.



아미노펜 2017-12 이미지로 된 네트워크 다이어그램은 따로없으신가요?? NAT를 처리해주었다면 pfsense 쉘 모드에서 tcpdump로 패킷이 먼저 pfsense까지 들어오는지 그리고 Destination NAT가 처리되는지와 이에 대한 REPLY 패킷이 날라오는지 구간별로 먼저 확인해보셔야될거같습니다. 이미지로 된 네트워크 다이어그램은 따로없으신가요?? NAT를 처리해주었다면 pfsense 쉘 모드에서 tcpdump로 패킷이 먼저 pfsense까지 들어오는지 그리고 Destination NAT가 처리되는지와 이에 대한 REPLY 패킷이 날라오는지 구간별로 먼저 확인해보셔야될거같습니다.



s김종화z 2017-12 회사에서 R&D 용으로 쓰는거라 다이어그램을 따로 그리진 않았습니다. 제가 인프라가 아니라 SW 디벨로퍼 쪽이라서요. 설정을 한 상태에서 Diagnostics / Packet Capture 쪽에 요청이 들어오는 건 보이는데, Diagnostics / States 에서 아무 정보도 쌓이지 않는 상태입니다. 구성이 참...요상한 상태라... 회사에서 R&D 용으로 쓰는거라 다이어그램을 따로 그리진 않았습니다. 제가 인프라가 아니라 SW 디벨로퍼 쪽이라서요. 설정을 한 상태에서 Diagnostics / Packet Capture 쪽에 요청이 들어오는 건 보이는데, Diagnostics / States 에서 아무 정보도 쌓이지 않는 상태입니다. 구성이 참...요상한 상태라...



henol 2017-12 별다른 질문이지만 pfsense 마스터책을 보신거면 HAProxy 는 패키지로 설치하신건가요? 아니면 따로 구축하셨나요? 저도 오늘 알았는데 책에 소개되었길래요. 별다른 질문이지만 pfsense 마스터책을 보신거면 HAProxy 는 패키지로 설치하신건가요? 아니면 따로 구축하셨나요? 저도 오늘 알았는데 책에 소개되었길래요.



s김종화z 2017-12 패키지로 설정하였습니다. 실제 업무에선 haproxy 설정파일을 수정해서 쓰고 unixsocket 등도 이용하고 있지만, 비개발자까지 사용하는걸 염두에 두고 웹에서 편하게 설정할 수 있는 패키지 버전을 골랐는데, 나름 괜찮은 것 같습니다. 패키지로 설정하였습니다. 실제 업무에선 haproxy 설정파일을 수정해서 쓰고 unixsocket 등도 이용하고 있지만, 비개발자까지 사용하는걸 염두에 두고 웹에서 편하게 설정할 수 있는 패키지 버전을 골랐는데, 나름 괜찮은 것 같습니다.



s김종화z 2017-12 또다른 해결책으로 기본 설치된 nginx 에 tcp/udp proxy 기능이 있어서 이걸 이용하려고 했더니 모듈이 없어서 안되는 것 같네요... 참 힘드네요. ^^;;; 또다른 해결책으로 기본 설치된 nginx 에 tcp/udp proxy 기능이 있어서 이걸 이용하려고 했더니 모듈이 없어서 안되는 것 같네요... 참 힘드네요. ^^;;;

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1741/5686

번호	제목Page 1741/5686	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (727)	정은준1	2014-05	4970659	0
[필독] 처음 오시는 분을 위한 안내 (727) 2014-05 4970659 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1506949	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1506949 1 백메가
78902	용지에 램이 끼워져서 망가진 건지 종이 급지가 안되는 앱손 프린터를 보면서 (1)	신은왜	2023-12	1570	0
용지에 램이 끼워져서 망가진 건지 종이 … (1) 2023-12 1570 1 신은왜
78901	중국태블릿에 보호필름을 붙이려하니 크기가 안맞네요...좀 큰거 잘라서 붙여주는데… (1)	김건우	2017-03	3332	0
중국태블릿에 보호필름을 붙이려하니 크… (1) 2017-03 3332 1 김건우
78900	서버용 파워 질문 (11)	느낌	2017-03	4013	0
서버용 파워 질문 (11) 2017-03 4013 1 느낌
78899	KT홈페이지 로그인 문제	민지파파	2022-04	2635	0
KT홈페이지 로그인 문제 2022-04 2635 1 민지파파
78898	vmware에서 가상 하드 읽기 성능? (5)	이종송1	2011-01	8773	0
vmware에서 가상 하드 읽기 성능? (5) 2011-01 8773 1 이종송1
78897	M1015에서 RAID 0 트림 지원은 불가능하죠? (1)	FreeBSD	2013-09	7120	0
M1015에서 RAID 0 트림 지원은 불가능하죠? (1) 2013-09 7120 1 FreeBSD
78896	삼성 970PRO SSD 사용 가능한 외장 케이스 있을까요? (7)	블루영상	2019-08	3116	0
삼성 970PRO SSD 사용 가능한 외장 케이스… (7) 2019-08 3116 1 블루영상
78895	랙캐비넷에 들어가는 건데.. 자문 구해봅니다. (4)	polaris86	2020-10	2501	0
랙캐비넷에 들어가는 건데.. 자문 구해봅… (4) 2020-10 2501 1 polaris86
78894	제온 E3 관련 메인보드 칩셋 문의 드립니다. (8)	어드민플레이	2013-09	22894	0
제온 E3 관련 메인보드 칩셋 문의 드립니… (8) 2013-09 22894 1 어드민플레이
78893	가정에서 사용할 무한잉크 프린터 추천 부탁드립니다. (11)	1CPU지창훈	2015-02	15199	0
가정에서 사용할 무한잉크 프린터 추천 부… (11) 2015-02 15199 1 1CPU지창훈
78892	제온 CPU 성능 비교 좀 해주세요. (10)	후리지아	2019-08	7096	0
제온 CPU 성능 비교 좀 해주세요. (10) 2019-08 7096 1 후리지아
78891	리눅스 설치시, 레이드카드가 안 올라오는 경우 (14)	amplifier	2016-04	10113	0
리눅스 설치시, 레이드카드가 안 올라오는… (14) 2016-04 10113 1 amplifier
78890	3Ware 9650SE-16ML 바이오스 끄는법이 궁금합니다. (2)	장동건2014	2015-02	8454	0
3Ware 9650SE-16ML 바이오스 끄는법이 궁… (2) 2015-02 8454 1 장동건2014
78889	베네발 윈도우가 모늘 막혔네요 (5)	freefree	2017-03	3474	0
베네발 윈도우가 모늘 막혔네요 (5) 2017-03 3474 1 freefree
78888	5.1채널의 4.0채널 변환 (8)	Sikieiki	2020-11	2474	0
5.1채널의 4.0채널 변환 (8) 2020-11 2474 1 Sikieiki
78887	Windows Server 사용시 Service에 대한 Resource 제약을 걸수 있나요? (3)	날개	2015-02	2889	0
Windows Server 사용시 Service에 대한 Re… (3) 2015-02 2889 1 날개
78886	노트북 어댑터 관련 질문입니다. (2)	luciddream	2015-02	3298	0
노트북 어댑터 관련 질문입니다. (2) 2015-02 3298 1 luciddream
78885	tyan k8hm(s3892) 보드에 ssd가 붙지 않습니다. (10)	강호형	2013-10	18214	0
tyan k8hm(s3892) 보드에 ssd가 붙지 않습… (10) 2013-10 18214 1 강호형
78884	SC743TQ 865 하드가 인식이 안됍니� (5)	예관신규식	2011-02	7614	0
SC743TQ 865 하드가 인식이 안됍니� (5) 2011-02 7614 1 예관신규식
78883	쿨러(supermicro snk-p0014ap)를 고정할 나사를 구할수 있을까요? (1)	Won낙연	2011-03	7394	0
쿨러(supermicro snk-p0014ap)를 고정할 … (1) 2011-03 7394 1 Won낙연