[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

쓰기

[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

라이크유

2023-03

2023-03-01 10:00:25

조회 17277 추천 0

계속 비슷한 질문만 올려서 송구합니다.

제가 네트워크에 미숙하고, 내부 인프라 정보 정리를 간단하게 정리하다가 보니 의도치 않게 잘못된 정보로 질문을 드리게 되었습니다.
다시한번 질문을 드립니다.

외부 공인 IP : 1.1.1.25 (1개만 가지고 있음)

내부 웹서버는 총 3대임.

* 192.168.0.10 / HTTPS 서비스 (80포트, 아파치 virtual host로 설정되어 있는 상태)
www.aaa.com
www.bbb.com
www.ccc.com

*192.168.0.11 / HTTP 서비스 (80포트, Confluence 서비스)
wiki.aaa.com

* 192.168.0.12 / HTTPS 서비스 (443포트, 시놀로지 NAS)
nas.aaa.com

이상태에서 웹브라우저에서 각각 도메인을 입력시, 외부 IP 1개로 내부 서버 3대에 있는 다수의 웹서비스 페이지로 접속이 되어야 합니다.
(소포스 장비에서는 가능했는데, 포티게이트 100d 장비에서 해당 기능 설정이 가능한지 모르겠습니다. 리버스 프록시라고 하는것 같습니다.)

도움을 부탁 드립니다.



junstem 2023-03 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다. 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다.



윤주병 2023-03 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!! 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!!



세슘 2023-03 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다



HEUo김용민 2023-03 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^; 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^;



HEUo김용민 2023-03 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^ 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^



HEUo김용민 2023-03 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274



윤주병 2023-03 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요.. 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요..



HEUo김용민 2023-03 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅



윤주병 2023-03 그래도 많은 부분 지식을 주신점 감사드립니다. 그래도 많은 부분 지식을 주신점 감사드립니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

12/105

번호	제목Page 12/105	글쓴이	날짜	조회	추천
1864	넷기어스위치 고수님께 여줘봅니다. (5)	엄청난x	2023-03	10947	0
넷기어스위치 고수님께 여줘봅니다. (5) 2023-03 10947 1 엄청난x
1863	네트워크 장비 이전 관련 문의 (9)	ksahn90	2023-03	9126	0
네트워크 장비 이전 관련 문의 (9) 2023-03 9126 1 ksahn90
1862	SKB 브릿지 모드 설정시 인터넷 먹통현상 (9)	중꺽마	2023-03	14261	0
SKB 브릿지 모드 설정시 인터넷 먹통현상 (9) 2023-03 14261 1 중꺽마
1861	vnware룰 켜면 pc가 이상해져요 ㅠㅠ (해킹 의심) (5)	낄낄맨	2023-03	12481	0
vnware룰 켜면 pc가 이상해져요 ㅠㅠ (해… (5) 2023-03 12481 1 낄낄맨
1860	공인 아이피를 받을 수 있는 곳에서 VPN을 통해 다른곳에서 아… (15)	지유아빠	2023-03	13747	0
공인 아이피를 받을 수 있는 곳에서 VPN을… (15) 2023-03 13747 1 지유아빠
1859	10기가 스위치를 구매했는데 헤놀로지와 윈도우PC만 로컬로 다… (4)	지존컴퓨터	2023-03	12994	0
10기가 스위치를 구매했는데 헤놀로지와 … (4) 2023-03 12994 1 지존컴퓨터
1858	[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가… (9)	라이크유	2023-03	17278	0
[재질문] Fortigate(포티게이트) 에서 리… (9) 2023-03 17278 1 라이크유
1857	[질문] Fortigate(포티게이트) 에서 리버스 프록시(Reverse Pro… (3)	라이크유	2023-02	16824	0
[질문] Fortigate(포티게이트) 에서 리버… (3) 2023-02 16824 1 라이크유
1856	MikroTik RouterOS 7.8의 주요 변경사항(디스크 관련) (3)	박건	2023-02	16265	0
MikroTik RouterOS 7.8의 주요 변경사항(… (3) 2023-02 16265 1 박건
1855	Bond Mode-6 구성 문의 (2)	remonemo	2023-02	11624	0
Bond Mode-6 구성 문의 (2) 2023-02 11624 1 remonemo
1854	Asus 공유기 RT-AC66R에서 OpenVPN 설정관련 질문입니다 (4)	Rainwalk	2023-02	13677	0
Asus 공유기 RT-AC66R에서 OpenVPN 설정관… (4) 2023-02 13677 1 Rainwalk
1853	[질문] Fortigate 에서 웹도메인 to 내부IP로 포워딩이 가능한… (5)	라이크유	2023-02	13028	0
[질문] Fortigate 에서 웹도메인 to 내부I… (5) 2023-02 13028 1 라이크유
1852	리눅스 본드 질문드립니다 (2)	다이다이	2023-02	6692	0
리눅스 본드 질문드립니다 (2) 2023-02 6692 1 다이다이
1851	수리타카로 ips 구성해봤읍니다.	Elusive4245	2023-02	7026	0
수리타카로 ips 구성해봤읍니다. 2023-02 7026 1 Elusive4245
1850	SMB 연결 기념. 윈도우 VS 리눅스 OS 속도 차이? (2)	회원	2023-02	6996	0
SMB 연결 기념. 윈도우 VS 리눅스 OS 속도… (2) 2023-02 6996 1 회원
1849	upnp 이것땜에 공격이 들어온거내요 (6)	misaka	2023-02	9945	0
upnp 이것땜에 공격이 들어온거내요 (6) 2023-02 9945 1 misaka
1848	네트워크 구성 문의드립니다. (6)	꿀호떡	2023-02	7886	0
네트워크 구성 문의드립니다. (6) 2023-02 7886 1 꿀호떡
1847	역시 미제가 좋내요 (2)	misaka	2023-02	8930	0
역시 미제가 좋내요 (2) 2023-02 8930 1 misaka
1846	lg u+ 공유기와 iptime ddns 질문입니다. (7)	김효수	2023-02	11573	0
lg u+ 공유기와 iptime ddns 질문입니다. (7) 2023-02 11573 1 김효수
1845	사내 네트워크 구축 관련 질문.. (18)	mydiarybiz	2023-02	11362	0
사내 네트워크 구축 관련 질문.. (18) 2023-02 11362 1 mydiarybiz