[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

쓰기

[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

라이크유

2023-03

2023-03-01 10:00:25

조회 17329 추천 0

계속 비슷한 질문만 올려서 송구합니다.

제가 네트워크에 미숙하고, 내부 인프라 정보 정리를 간단하게 정리하다가 보니 의도치 않게 잘못된 정보로 질문을 드리게 되었습니다.
다시한번 질문을 드립니다.

외부 공인 IP : 1.1.1.25 (1개만 가지고 있음)

내부 웹서버는 총 3대임.

* 192.168.0.10 / HTTPS 서비스 (80포트, 아파치 virtual host로 설정되어 있는 상태)
www.aaa.com
www.bbb.com
www.ccc.com

*192.168.0.11 / HTTP 서비스 (80포트, Confluence 서비스)
wiki.aaa.com

* 192.168.0.12 / HTTPS 서비스 (443포트, 시놀로지 NAS)
nas.aaa.com

이상태에서 웹브라우저에서 각각 도메인을 입력시, 외부 IP 1개로 내부 서버 3대에 있는 다수의 웹서비스 페이지로 접속이 되어야 합니다.
(소포스 장비에서는 가능했는데, 포티게이트 100d 장비에서 해당 기능 설정이 가능한지 모르겠습니다. 리버스 프록시라고 하는것 같습니다.)

도움을 부탁 드립니다.



junstem 2023-03 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다. 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다.



윤주병 2023-03 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!! 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!!



세슘 2023-03 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다



HEUo김용민 2023-03 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^; 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^;



HEUo김용민 2023-03 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^ 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^



HEUo김용민 2023-03 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274



윤주병 2023-03 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요.. 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요..



HEUo김용민 2023-03 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅



윤주병 2023-03 그래도 많은 부분 지식을 주신점 감사드립니다. 그래도 많은 부분 지식을 주신점 감사드립니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

12/105

번호	제목Page 12/105	글쓴이	날짜	조회	추천
1866	DHCP 서버 및 대역 구성 관련해서 질문 드립니다. (10)	junstem	2022-01	3557	0
DHCP 서버 및 대역 구성 관련해서 질문 … (10) 2022-01 3557 1 junstem
1865	isp의 ip 탐지 관련. (3)	까치산개꿀탱	2020-10	3558	0
isp의 ip 탐지 관련. (3) 2020-10 3558 1 까치산개꿀탱
1864	Unifi USG L2TP VPN 연결이 안돼요 ㅠㅠ	제이티	2021-04	3560	0
Unifi USG L2TP VPN 연결이 안돼요 ㅠㅠ 2021-04 3560 1 제이티
1863	인터넷 공유 관련 질문드립니다. (3)	mistive	2022-02	3578	0
인터넷 공유 관련 질문드립니다. (3) 2022-02 3578 1 mistive
1862	서버 초보자 입니다 모델 추천 좀 부탁드립니다. (1)	에이스김	2019-12	3581	0
서버 초보자 입니다 모델 추천 좀 부탁드… (1) 2019-12 3581 1 에이스김
1861	router ospf 질문이요 (4)	키리에	2021-10	3589	0
router ospf 질문이요 (4) 2021-10 3589 1 키리에
1860	원격지 서버와 통신 시 네트워크 응답이 없는 현상에 대해 질문… (8)	피아노공학과	2021-07	3592	0
원격지 서버와 통신 시 네트워크 응답이 … (8) 2021-07 3592 1 피아노공학과
1859	네트워크 구성에 관해 질문드립니다. (공유기 하단 공유기) (2)	박문형	2021-04	3594	0
네트워크 구성에 관해 질문드립니다. (공… (2) 2021-04 3594 1 박문형
1858	QOS걸려서 광랜으로 벤치비상 90/90로 속도 저하 됐다 쳐도이게… (1)	vvvvvpzlqq	2020-12	3602	0
QOS걸려서 광랜으로 벤치비상 90/90로 속… (1) 2020-12 3602 1 vvvvvpzlqq
1857	3개 ip를 한개 스위치허브애 물려서 사용 할수 있나요? (6)	SDG6038	2022-01	3605	0
3개 ip를 한개 스위치허브애 물려서 사용 … (6) 2022-01 3605 1 SDG6038
1856	Dell EMC N1124T-ON 사용해보신 분 계신가요? (1)	곰삼촌	2020-03	3605	0
Dell EMC N1124T-ON 사용해보신 분 계신가… (1) 2020-03 3605 1 곰삼촌
1855	10기가 듀얼포트 랜카드는 pcie 4배속을 안만드는 이유가 있나… (7)	sprppr	09-08	3609	0
10기가 듀얼포트 랜카드는 pcie 4배속을 … (7) 09-08 3609 1 sprppr
1854	스위치허브 2대 운영 (2)	민동이네	2021-02	3610	0
스위치허브 2대 운영 (2) 2021-02 3610 1 민동이네
1853	안녕하세요 네트워크를 아예 모르는 개발자입니다. 속도이슈에 … (17)	krDeveloper	08-16	3614	0
안녕하세요 네트워크를 아예 모르는 개발… (17) 08-16 3614 1 krDeveloper
1852	VLAN trunking 질문드립니다. (6)	choigo	2022-04	3617	0
VLAN trunking 질문드립니다. (6) 2022-04 3617 1 choigo
1851	[질문] 2.5G 스위칭 SFP 문의드려요. (7)	KGOON	2023-12	3619	0
[질문] 2.5G 스위칭 SFP 문의드려요. (7) 2023-12 3619 1 KGOON
1850	포티넷 100e 제품을 직접 개인이 구매해서 사용가능할까요? (8)	다이어트중	2021-02	3621	0
포티넷 100e 제품을 직접 개인이 구매해서… (8) 2021-02 3621 1 다이어트중
1849	VPN 홍보 문의~ (8)	아웃사이드	2022-01	3623	0
VPN 홍보 문의~ (8) 2022-01 3623 1 아웃사이드
1848	[문의] PC1 - VMware ESXI - VM1 10G 직결 방법 (3)	준비된백수	2022-01	3624	0
[문의] PC1 - VMware ESXI - VM1 10G 직… (3) 2022-01 3624 1 준비된백수
1847	시스코 이중화 혹 아시는분 계실까요? (6)	seoforce	2021-07	3625	0
시스코 이중화 혹 아시는분 계실까요? (6) 2021-07 3625 1 seoforce