[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

쓰기

[재질문] Fortigate(포티게이트) 에서 리버스 프록시 설정이 가능한가요?

라이크유

2023-03

2023-03-01 10:00:25

조회 18009 추천 0

계속 비슷한 질문만 올려서 송구합니다.

제가 네트워크에 미숙하고, 내부 인프라 정보 정리를 간단하게 정리하다가 보니 의도치 않게 잘못된 정보로 질문을 드리게 되었습니다.
다시한번 질문을 드립니다.

외부 공인 IP : 1.1.1.25 (1개만 가지고 있음)

내부 웹서버는 총 3대임.

* 192.168.0.10 / HTTPS 서비스 (80포트, 아파치 virtual host로 설정되어 있는 상태)
www.aaa.com
www.bbb.com
www.ccc.com

*192.168.0.11 / HTTP 서비스 (80포트, Confluence 서비스)
wiki.aaa.com

* 192.168.0.12 / HTTPS 서비스 (443포트, 시놀로지 NAS)
nas.aaa.com

이상태에서 웹브라우저에서 각각 도메인을 입력시, 외부 IP 1개로 내부 서버 3대에 있는 다수의 웹서비스 페이지로 접속이 되어야 합니다.
(소포스 장비에서는 가능했는데, 포티게이트 100d 장비에서 해당 기능 설정이 가능한지 모르겠습니다. 리버스 프록시라고 하는것 같습니다.)

도움을 부탁 드립니다.



junstem 2023-03 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다. 제일 간단하게 가시려면 서버 하나를 더 구축 하시구요. 예)192.168.0.200 1.구축한 해당 서버(200)에 Nginx 나 Nginx Proxy Manager 혹은 리버스 프록시 가능한 웹서버를 설치 하시구요. 2.현재 HTTPS를 사용해서 구축한 웹사이트들을 HTTP로 변경 혹은 유지 그리고 3.1번에서 구축한 해당 서버에 현재 사용중인 HTTPS 및 리버스 프록시 관련 설정 * SSL 설정시 내부서버에서 HTTPS면 리버스 프록시 가동하는 서버에서도 무조건 HTTPS설정 해주셔야 합니다. 4.포티게이트 100d장비에서 80, 433 포트를 192.168.0.200 으로 포트포워딩 위와 같이 하시면 외부 공인 IP로 접속시 새로 구축한 192.168.0.200의 리버스 프록시를 통해서 내부 웹서버 192.168.0.10 , 11, 12 등 해당 서비스로 연결 가능합니다. 보안을 위해서 외부 IP는 삭제 추천 드립니다.



윤주병 2023-03 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!! 좋은 답변 감사합니다.!!! 말씀 하신 부분을 고려하고는 있었는데.. FortiGate 에서는 불가능한 기능인지 확인하고 싶었습니다. !!!



세슘 2023-03 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다 junstem 님쓴글처럼 라이브 고객사 사이트랑 서버 운영중인데 안정적이고 편합니다 앞단에 포티200D 는 접근제어랑 vpn 용으로만 사용중이고 80, 443 포트는 nginx 리버스프록시로 넘기고있고요 장점은 간단명료 하고 무료ssl 자동연장도 운영할수있고 헤더나 프록시 캐시설정도 편하고 무엇보다 워낙유명해서 참조할만한 레퍼런스가 많아요 웹뿐만 아니라 일반적인 tcp 통신도 nginx의 stream 모듈이용하면 몇줄로 가능하고요 포티에서 굳이 쓰려면 ssl 인증서 적용가능여부도 보셔야할거에요 다만 원하시는기능은 리버스프록시 이니 거기에 가장적합한 nginx 를 추천합니다 뭐든지 용도에 맞게 쓰는게 낫더라구요 그리고 nginx에서는 앞단에만 ssl 해두고 백단연결은 80 으로 해도 됩니다 아파치 운영서버들 까지 안해도 돼요 실제운영하는 입장에서 말씀드립니다



HEUo김용민 2023-03 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^; 가능합니다. 6~7년 전 미크로틱에서도 구현했었고 예전 5.2 버전에서 DNS Server 설정, Reverse Proxy Server 설정으로 통해서 해당 방식을 구현해 사용했었죠^^; 이후 5~6년전 해당 설정시 Proxy 서버 기능이 Fortigate에서 구현되서 웹성능 문제로 서버를 IDC 입고 및 Static Dst NAT (Fortigate VIP 설정)방식으로 사용했었는데 이후 사용량 감소로 IDC 철거 및 클라우드 사용으로 현재는 서버 철거한지 오래라서 재 구현은 조금 힘네요^^;



HEUo김용민 2023-03 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^ 최근 글 보다보니... VIP 설정쪽에서 해당 CLI로 설정 기능이 별도로 추가된 것 같네요. https://www.reddit.com/r/fortinet/comments/q5wmns/reverse_proxy_external_fqdn_internal_ip/ 코멘트"techbandits" 답변 내용 CLI Config 확인해보세요^^



HEUo김용민 2023-03 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274 포티넷 커뮤니티에도 잘 정리된 내용으로 올라와 있네요. https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-up-a-VIP-load-balance-with-HTTP-host-check/ta-p/198274



윤주병 2023-03 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요.. 위에 게시글은 외부 도메인 1개 <-> 내부 IP 1개로 각각 맵핑하는 내용이었습니다. 여러개의 도메인이 내부 IP 1개를 바라보게 하는건 안되더라구요..



HEUo김용민 2023-03 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅 내용 컨피그상 될 것 같아서 HFS 3.x 버전에서 지원하는 vhost 플러그인을 통해 테스트 해봤는데 역시나 미지원 되는것이 확인됩니다^^; 확인된 내용상으로는 현재 vhost 설정된 웹서버에 다중 사설IP를 할당하여 HTTP Loadbalance 설정으로 연결하는 방법이 최선인것 같아요. 기존에 제가 설정했던 방식이 링크 드린 기능이 미지원되어서 억지로 구현했던 기능이라 기존 제가 사용했던 방식으로 사용했을때 Fortigate의 Proxy를 통해 웹서버에 접속되는 것이라... 아래 부분이 문제가 되었습니다. 1. 서버상 vhost로 설정된 도메인별 Root path 접속 부분이 오동작 2. 서버 access log에는 Fortigate IP 접속 IP로만 로깅



윤주병 2023-03 그래도 많은 부분 지식을 주신점 감사드립니다. 그래도 많은 부분 지식을 주신점 감사드립니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

14/107

번호	제목Page 14/107	글쓴이	날짜	조회	추천
1863	VLAN trunking 질문드립니다. (6)	choigo	2022-04	4058	0
VLAN trunking 질문드립니다. (6) 2022-04 4058 1 choigo
1862	시놀로지 mr2200ac 무선 리피터 모드	psj1050	2020-07	4066	0
시놀로지 mr2200ac 무선 리피터 모드 2020-07 4066 1 psj1050
1861	카pc 네트웍? (4)	낭만넉대	2020-02	4067	0
카pc 네트웍? (4) 2020-02 4067 1 낭만넉대
1860	시스코 2900 시리즈와 견줄만한 L2 스위치는 어떤게 있을까요? (3)	코코짱	2020-01	4073	0
시스코 2900 시리즈와 견줄만한 L2 스위… (3) 2020-01 4073 1 코코짱
1859	[질문]셀룰러망에서의 WireGuard 접속시 속도가 비정상적으로 … (11)	RuBisCO	2022-02	4076	0
[질문]셀룰러망에서의 WireGuard 접속시 … (11) 2022-02 4076 1 RuBisCO
1858	무료NMS문의 드립니다. (5)	김희태	01-27	4079	0
무료NMS문의 드립니다. (5) 01-27 4079 1 김희태
1857	인텔 X520 랜카드 타사지빅 사용 패치 (Unlock) (3)	안철현	2021-12	4079	0
인텔 X520 랜카드 타사지빅 사용 패치 (Un… (3) 2021-12 4079 1 안철현
1856	사무실 네트워크 구성질문드립니다 (12)	케치	2021-04	4090	0
사무실 네트워크 구성질문드립니다 (12) 2021-04 4090 1 케치
1855	LC-LC 케이블 가용 길이.. (14)	Rainwalk	2022-04	4091	0
LC-LC 케이블 가용 길이.. (14) 2022-04 4091 1 Rainwalk
1854	[문의] PC1 - VMware ESXI - VM1 10G 직결 방법 (3)	준비된백수	2022-01	4097	0
[문의] PC1 - VMware ESXI - VM1 10G 직… (3) 2022-01 4097 1 준비된백수
1853	원격지 서버와 통신 시 네트워크 응답이 없는 현상에 대해 질문… (8)	피아노공학과	2021-07	4107	0
원격지 서버와 통신 시 네트워크 응답이 … (8) 2021-07 4107 1 피아노공학과
1852	esxi web ui접속 도움부탁드립니다 (5)	Wnahd	2022-07	4114	0
esxi web ui접속 도움부탁드립니다 (5) 2022-07 4114 1 Wnahd
1851	PXE 부팅 구성 시 DHCP에서 IP 최대 할당 질문 (1)	fprrmsl	2020-11	4114	0
PXE 부팅 구성 시 DHCP에서 IP 최대 할당 … (1) 2020-11 4114 1 fprrmsl
1850	미크로틱 hEx 장비 내부 NAT 속도가 안나오네요 (300Mbps정도..… (13)	asdf123123	2021-12	4118	0
미크로틱 hEx 장비 내부 NAT 속도가 안나… (13) 2021-12 4118 1 asdf123123
1849	tp-link Omada (1)	아싸맨	2021-04	4118	0
tp-link Omada (1) 2021-04 4118 1 아싸맨
1848	소규모 사무실에서 웹 서버 DNS에 대한 조언 부탁 드립니다. (11)	아주좋아	2021-02	4121	0
소규모 사무실에서 웹 서버 DNS에 대한 조… (11) 2021-02 4121 1 아주좋아
1847	VPN 서버를 구축할려고 합니다. 많은 도움 부탁드리겠습니다. (8)	SDG6038	2021-11	4128	0
VPN 서버를 구축할려고 합니다. 많은 도움… (8) 2021-11 4128 1 SDG6038
1846	네트워크 구성(공유기-스위치-스위치) 문의 드립니다. (5)	귤향	2020-11	4128	0
네트워크 구성(공유기-스위치-스위치) 문… (5) 2020-11 4128 1 귤향
1845	‘뚫리지 않는 방패’ 차세대 보안 기술 <양자암호통신> (4)	딥러닝서버	2022-03	4129	0
‘뚫리지 않는 방패’ 차세대 보안 기술 <… (4) 2022-03 4129 1 딥러닝서버
1844	CSS610-8G-2S+IN 연결 관련 문의 입니다 (11)	iaj04	2024-07	4130	0
CSS610-8G-2S+IN 연결 관련 문의 입니다 (11) 2024-07 4130 1 iaj04