내부 서버로 외부 공인 IP를 사용하는 방법
DMZ 상에 서버를 두는 것을 생각해보면 이들 중 일부는 포워딩 정책에 의해 외부 인터넷 망에서 접속이 가능하지만 내부 IP(LAN)에서 외부 IP상의 서버로 접속을 할 때 접속이 되지 않을 것입니다. 이는 내부이기 때문에 하론 방화벽의 라우팅을 바로 설정하여야 합니다. 그러나 이런 행동은 무시될 수 있습니다. LAN에서 DMZ 서버로의 모든 요청에 대한 방향성은 방화벽 그 자체에서 발생한 것으로 보여집니다. 이는 NAT과 방화벽 규칙을 필요로합니다. 다음을 참조하십시오.
NAT과 방화벽 규칙
서버들이 DMZ에 있다면 아래 규칙을 추가합니다.
서버들이 LAN 상에 있다면 아래 규칙을 추가합니다.
DMZ 네트워크 상의 서버들이 로칼 네트워크로 전달하고자 할 때 반드시 각각 하나의 "dmz server #" NAT 규칙을 추가하여야 합니다.
DMZ 네트워크 상의 서비스들이 로칼 네트워크로 전달하고자 할 때 반드시 각각 하나의 "dmz server #" firewall 규칙을 추가하여야 합니다. group:X는 서버의 IP 주소를 갖도록 group:ID로 나타나야 합니다. service:X역시 클라이언트로 전달되도록 귀하의 서비스가 되어야 합니다. 이것이 동작되지 않으면 추가적인 방화벽 규칙이 필요합니다. 아래 명령을 실행하여 무엇이 빠졌는지 점검해 봅니다.
다른 방법
다른 방법으로서 관리자는 호스트명을 사요하여 서버에 연결할 수 있습니다. 이를 하기 위해서는 내부 DNS 서버에서 서버의 로칼 IP 주소를 지정하도록 변경하여야 합니다.
DMZ 상에 서버를 두는 것을 생각해보면 이들 중 일부는 포워딩 정책에 의해 외부 인터넷 망에서 접속이 가능하지만 내부 IP(LAN)에서 외부 IP상의 서버로 접속을 할 때 접속이 되지 않을 것입니다. 이는 내부이기 때문에 하론 방화벽의 라우팅을 바로 설정하여야 합니다. 그러나 이런 행동은 무시될 수 있습니다. LAN에서 DMZ 서버로의 모든 요청에 대한 방향성은 방화벽 그 자체에서 발생한 것으로 보여집니다. 이는 NAT과 방화벽 규칙을 필요로합니다. 다음을 참조하십시오.
NAT과 방화벽 규칙
서버들이 DMZ에 있다면 아래 규칙을 추가합니다.
halon(office1)# net nat ip add "nonat" "no nat rule" "dynamic" "ether3" "ether3:ip" "ether3:net" "none" "none" "random"
halon(office1)# net nat ip add "nat" "dmz server 1" "dynamic" "ether2" "ether2:net" "group:X" "ether3:ip" "none" "random"
서버들이 LAN 상에 있다면 아래 규칙을 추가합니다.
halon(office1)# net nat ip add "nonat" "no nat rule" "dynamic" "ether2" "ether2:ip" "ether2:net" "none" "none" "random"
halon(office1)# net nat ip add "nat" "dmz server 1" "dynamic" "ether2" "ether2:net" "group:X" "ether2:ip" "none" "random"
DMZ 네트워크 상의 서버들이 로칼 네트워크로 전달하고자 할 때 반드시 각각 하나의 "dmz server #" NAT 규칙을 추가하여야 합니다.
halon(office1)# firewall policy add "sf:1" "a" "dmz server 1" "allow" "stateful" "win" "nolog" "service:X" "ether2" "ether2:net" "noqos" "none" "ether1:ip" "noqos" "group:X" "nosession" "in" "none" "none" "" "none" "none"
halon(office1)# firewall config use
DMZ 네트워크 상의 서비스들이 로칼 네트워크로 전달하고자 할 때 반드시 각각 하나의 "dmz server #" firewall 규칙을 추가하여야 합니다. group:X는 서버의 IP 주소를 갖도록 group:ID로 나타나야 합니다. service:X역시 클라이언트로 전달되도록 귀하의 서비스가 되어야 합니다. 이것이 동작되지 않으면 추가적인 방화벽 규칙이 필요합니다. 아래 명령을 실행하여 무엇이 빠졌는지 점검해 봅니다.
halon(office1)# firewall log
다른 방법
다른 방법으로서 관리자는 호스트명을 사요하여 서버에 연결할 수 있습니다. 이를 하기 위해서는 내부 DNS 서버에서 서버의 로칼 IP 주소를 지정하도록 변경하여야 합니다.