김제연 2022-03

포트 포워딩 하시면 되야 할것 같습니다..
근데 비추천 드리고
openvpn 같은 vpn 하나 설정 하시고
vpn 으로 접속해서 로컬처럼 사용하세요..

httpd 2022-03

포워딩해도 안뜨떠라구요 ㅠ 443 포트를 줘야하나 싶네요 (다른걸로 쓰고 있어서..못주는데 ㅠㅠ.)

나파이강승훈 2022-03

우선 지금 원하시는 바를 이루려고 하신다면 그런데 그 포트를 사용하고 있다고 하면 포트포워딩으로는 불가능합니다. 아니 가능하기도 하긴 하지만 그러려면 공유기를 바꿔주셔야 합니다. 이런걸 가능하게 하는 공유기가 또 있습니다. MULTI WAN device 를 써야죠.

아니면 그냥 L2 또는 L3 장비를 프로그램해서 쓰면 또 가능해집니다. 그렇지만 당연히 WAN IP는 여러개가 있어야죠. 포트 443를 다른 목적으로 쓰고 계시니까요.
여기서 또 virtual hosting의 기능을 섞어서 쓸 수 있는지 까지는 모르겠습니다만, 너무 복잡해지고 있으니 그냥 wan ip 가 두개가 있는걸로 하죠.

아니면 지금 김제연님의 댓글대로 VPN을 사용하시는 방법이 있겠습니다.
VPN을 연결할때 꼭 443포트를 써야 하는이유가 뭔지요?

뭐 하여간... VPN을 공유기까지만 연결하시는 세팅을 하시게 되면 외부에서 로컬 LAN IP 를 받게 되는것이니 그냥 LAN 이라고 생각하시고 사용하시면 되겠습니다.
아니면 VPN 을 LAN 에 있는 다른  VPN서버로 접속하시려면 또 이걸 위한 port forwarding 이 필요하겠죠? VPN을 세팅할때 사용하는 포트는 사용자 임의대로 쓸 수 있으니깐 사용안하시는 포트를 사용하시면 되겠습니다. 그렇지만 물론 외부에서 VPN을 접속할때 꼭 그 포트로 접속을 해주시는건 까먹으면 안되는 사안입니다.

VPN을 사용하는 법이 훨 더 안전하겠습니다. 하지만 어짜피 누군가가 뚫으려고 하고 능력이 되는 공격자라고 하면 막기 힘든것이 공격이라서 ㅠㅠ....

저도 지금 완젼 당한것 같은 느낌으로 하루하루 지내고 있습니다 (뚤린상태 - 해커가 저의 LAN을 사용하고 있는 중) ㅠㅠ...

병철 2022-03

ESXi 외부에 노출하지 마세요.
제연님 말씀대로 하시는게 나을 듯 합니다.

dateno1 2022-03

외부 노출은 커녕 내부 노출도 피하는게 나을 수준이죠 (원래 관리용 NIC는 관리용 콘솔과 VCSA만 있는 패쇄망이 추천됨)

나파이강승훈 2022-03

이건 좀 너무 심하긴하지만 ㅠㅠ

노출이 없는게 좋기는 하죠....

그리고 접속을 허락하는 곳들을 정해놓는것이나 ssh키 메칭이 될때만 networking을 허락하는 그런 세팅으로...
저도 말로만 그러지 말고 그렇게 바꿔야겠네요 ㅠㅠ...

지금 크롬에서 profile을 사용하게 되면서 뭔가 어디서 노출이 되어버린것 같은 기분이라서 이제 window도 안쓰려고 하고 있는 중이네요 ㅠㅠ....

dateno1 2022-03

가상화 서버는 하나 털리면 너무 피해가 커요

VCSA 털리는날엔 연동된 모든 호스트랑 거기 있는 모든 게스트가 다 위험해요 (까딱하면 대상이 수백~수천대가 되버림)

SSH를 꺼놔도 공격 안 당하는건 아니다보니 (업데이트 내역에 보안 관련 빠진적 없음) 꺼놔도 위험성은 여전히 있다고 봅니다

나파이강승훈 2022-03

아주 무서운 상황이 생길 수 있죠 ㅠㅠ

뭐 SSO 써버나 DB가 털리면 그것도 막상막상이죠 ㅠㅠ...

무엇이든 항시 방어가 더 힘들잖아요 ㅠㅠ....
날 공격할 넘들은 이세상이고 저는 저혼자니까 ㅠㅠ

dateno1 2022-03

최대한 건들기 힘들게 하는것뿐이죠 ㅠ.ㅠ

제온프로 2022-03

시나리오
:: IPtime공유기를 ESXi서버와 VMs  포트포워딩

<가정>
KT,LG 인터넷라인 (211.100.100.50)
IPtime 공유기        (192.168.0.1)
ESXi 서버 ( 3 VMs )
_____________________________________________________________________

  ESXi서버 (192.168.0.10)
      VM1 (192.168.0.11) (network=Bridge로설정)
      VM2 (192.168.0.12) (network=Bridge로설정)
      VM3 (192.168.0.13) (network=Bridge로설정)

______________________________________________________________________
IPtime공유기(포트포워딩 설정)

80포트설정 (기타 포트도 동일)

공유기180 => 로컬 192.168.0.10 : 80 (ESXi 서버가 연결) 
공유기181 => 로컬 192.168.0.11 : 80 (VM1 웹서버가 연결) 
공유기182 => 로컬 192.168.0.12 : 80 (VM2 웹서버가 연결)
공유기183 => 로컬 192.168.0.13 : 80 (VM2 웹서버가 연결)

외부에서 접속은
211.100.100.50 : 180 => 로컬 192.168.0.10 : 80 (ESXi 서버가 연결) 
211.100.100.50 : 181 => 로컬 192.168.0.11 : 80 (VM1 웹서버가 연결) 
211.100.100.50 : 182 => 로컬 192.168.0.12 : 80 (VM2 웹서버가 연결)
211.100.100.50 : 183 => 로컬 192.168.0.13 : 80 (VM2 웹서버가 연결)

** DDNS 연결했다면... corea.ddns.org
corea.ddns.org : 180 => 로컬 192.168.0.10 : 80 (ESXi 서버가 연결) 
corea.ddns.org : 181 => 로컬 192.168.0.11 : 80 (VM1 웹서버가 연결) 
corea.ddns.org : 182 => 로컬 192.168.0.12 : 80 (VM2 웹서버가 연결)
corea.ddns.org : 183 => 로컬 192.168.0.13 : 80 (VM2 웹서버가 연결)

민사장 2022-03

esxi 인터넷에 노출하면 20분안에 해킹되서 호스트를 밀어야 하는 사태가 발생합니다. 제가 당해봤고요, esxi 에 접속할 수 있는 ip 를 고정해 두어야 합니다. 공유기에 포트포워딩만 걸면 되긴 합니다. esxi 방화벽 설정을 확인해 보세요. 내부망만 사용 가능하게 되있을수 있습니다. 그리고 ddns 사용시 www와 같은 서브도메인 붙여줘야 동작해요.

나파이강승훈 2022-03

우선 위에 모든 분들께서 말씀하신대로 외부에서 접속을 허락하게되면 뭐 뚫리는건 시간문제겠죠 ㅠㅠ....

그걸 방지 하기위해서 첫째! root 이나 다른 스텐다드 또는 기본 user 들을 모두 없애거나 외부접속 불가 ID로 전환을 하시는걸 추천드립니다.

그리고 위에 질문하신 바에 답을 우선 하자고 하면... (꼭 root 은 disable 하시기 바랍니다)
물론 이것은 TEST를 위한 스텝이긴 합니다만...

DMZ호스트로 세팅을 해주세요. 그러니까 공유기에서 DMZ 를 세팅하는데 그것의 IP가 외부에서 접속을 허락하고 싶은 ESXi 서버의 로컬 IP로 만들어 주면 됩니다.
이렇게 되면 외부에서 들어오는 모든 접속은 ESXi 서버로 forwarding 될것입니다.

이것이 안되면 인터넷 자체에서 막고 있는 상황인것입니다. 또는 ESXi 서버 자체에 세팅되어있는 방화벽으로 인한것일 수 있는것 이고요.

DMZ로 세팅한후에 정상적으로 외부에서 접속이 가능하다고 하면 port forwarding 을 제대로 설정하시지 않은것입니다.