리눅스 분류
리눅스머신에서 DMZ 구성이 가능하나요?
작성자 정보
- 양인석 작성
- 작성일
컨텐츠 정보
- 1,647 조회
- 2 댓글
- 0 추천
- 목록
본문
안녕하세요..
현재 보안서버가 솔라리스에 시큐웍스를 깔아서 운영됩니다.
보안서버가 노후된 관계로 머신을 교체하고..
리눅스로 보안서버를 운용하고자 하는데요..
리눅스머신에선 DMZ 구성을 어떻게 해야 하는지요?
iptable을 이용한 port 포워딩을 통한 PREROUTING는 알겠는데..
(웹서버에 가상아이피를 넣고 80포트로 넘기는거)
현재 ISP업체에서 DMZ구간을 따로 할당받아서 사용중입니다..
이를 리눅스에서 적용하려면 어떻게 해야 하는지 좀 가르쳐 주세요... 부탁드립니다..
천상 리눅에서 포워딩을 하려면 eth0에 웹서버 도메인에 할당된 ip를 넣어주고 eth1에 가상아이피 대역.. 그리고 eth1에 웹서버 연결..
이런 방법만 가능한가요?
문제는 DMZ ip를 eth0에 넣지 못하는 이유는 인터넷이 안됩니다..
관련자료
-
이전
-
다음
댓글 2
장세진님의 댓글
- 장세진
- 작성일
DMZ는 ISP업체에서 할당해 주는 것이 아니라 자체적으로 구성해야합니다.
ISP 업체에서는 공인IP대역을 할당 해 줍니다.
웹을 사설로 돌리시려면 님께서 아시는 iptable을 이용하시면 됩니다.
랜카드가 2개인 상태에서는 1개는 사설IP로 나머지 한개는 ISP업체에서 할당받은
공인IP중 한개로 설정을 하시어 iptable을 이용하시면 까다롭지만 가능합니다.
이렇게 되면 공인IP대역을 이용하거나 특정 서비스를 이용하기위해서는
일일이 iptable에서 설정을 해주셔야 합니다.
이를테면 --(웹서버에 가상아이피를 넣고 80포트로 넘기는거)-- 라든가,,,,
특정 고정IP와 사설IP에 대한 static 처리등,.....
만약 더 좋은 방법을 원하신다면,,,, 조금 복잡하지만,,,,,
리눅스 박스에 랜카드 3개를 설치해서,,,,,
1개는 ISP업체와 Serial Network 구간으로 설정을 하시고
(==>ISP업체에 Serial IP추가 요청 및 라우팅 변경이 필요함)
1개는 할당받은 공인 IP를 설정(DMZ 또는 공인IP사용)하시고,,,,
(==> 공인IP대역 사용하는 호스트의 게이트웨이가 됨)
나머지 한개는 사설로 사용을 하시면 됩니다.
이렇게 구성하실 경우 리눅스 박스에서
디폴트 루트는 Serial Network 대역으로 잡아주시고
사설IP를 위한 nat 기능을 올리고,,,,
그리고 나머지 공인대역을 위한 iptable의 forward 정책(방화벽정책)을 설정하시면 됩니다.
조금이나 도움이 되시기를 바랍니다.
ISP 업체에서는 공인IP대역을 할당 해 줍니다.
웹을 사설로 돌리시려면 님께서 아시는 iptable을 이용하시면 됩니다.
랜카드가 2개인 상태에서는 1개는 사설IP로 나머지 한개는 ISP업체에서 할당받은
공인IP중 한개로 설정을 하시어 iptable을 이용하시면 까다롭지만 가능합니다.
이렇게 되면 공인IP대역을 이용하거나 특정 서비스를 이용하기위해서는
일일이 iptable에서 설정을 해주셔야 합니다.
이를테면 --(웹서버에 가상아이피를 넣고 80포트로 넘기는거)-- 라든가,,,,
특정 고정IP와 사설IP에 대한 static 처리등,.....
만약 더 좋은 방법을 원하신다면,,,, 조금 복잡하지만,,,,,
리눅스 박스에 랜카드 3개를 설치해서,,,,,
1개는 ISP업체와 Serial Network 구간으로 설정을 하시고
(==>ISP업체에 Serial IP추가 요청 및 라우팅 변경이 필요함)
1개는 할당받은 공인 IP를 설정(DMZ 또는 공인IP사용)하시고,,,,
(==> 공인IP대역 사용하는 호스트의 게이트웨이가 됨)
나머지 한개는 사설로 사용을 하시면 됩니다.
이렇게 구성하실 경우 리눅스 박스에서
디폴트 루트는 Serial Network 대역으로 잡아주시고
사설IP를 위한 nat 기능을 올리고,,,,
그리고 나머지 공인대역을 위한 iptable의 forward 정책(방화벽정책)을 설정하시면 됩니다.
조금이나 도움이 되시기를 바랍니다.
양인석님의 댓글
- 양인석
- 작성일
답변을 달아주셔서 대단히 고맙습니다..
그런데.. DMZ을 자체적으로 구성해야 한다고 하셨는데...
글쎄요... 그부분이 제가 부족해서리.. 어떻게 돌아가는지 모르겠네요..
일단 저의 환경을 상세히 말씀드리면...
예를 들어.. 데이콤에서 123.123.123.0/24 이렇게 C클래스를 할당해주었다고 하고요..
실제 C클래스를 받았고.. 수치만 제가 임의적으로 써넣은 겁니다..
그리고 DMZ을 위해 위에 C클래스를 서브넷했다고 합니다..
123.123.123.0/128(저희 네트워크에서 공인IP로 사용할수 있는 영역)
123.123.123.128/128(이부분이 DMZ 구간으로 사용할수 있는 영역)
이렇게 된상태에서 ISP업체에서 장비를 하나 올렸읍니다..
L2_Switch이면서 ISP업체에서 내부로 끌어온 광케이블이 연결되어있구요..
그 스위치는 포트가 6개인데.. 1번포트가.. 솔라리스 머신의 첫번째 랜카드에
꽂혀 있읍니다.. 그리고 솔라리스 머신의 두번째 랜카드가 웹서버에 크로스로 연결되어 있구요.. 세번째 랜카드는 가상망 192.168.1.0/24로 NAT를 사용하기 위해 내부 스위치에 연결되어 있읍니다..
위와같이 망이 구성되어 있고.. ISP업체에서 대여해준 나머지 포트에 공인 IP를 넣고 컴터를 연결하면 인터넷이 됩니다.. 그러나 DMZ구간으로 할당해준 IP를 넣으면 인터넷이 되지 않습니다..
솔라리스 머신을 설명을 드리면...첫번째 랜카드에 123.123.123.2를 넣었구요..
이때 게이트웨이는 ISP업체에서 지정해준 123.123.123.1입니다..바로 L2_Switch겠지요.
세번째 랜카드는 192.168.1.254로 잡아서 내부에서 192.168.1.0/24를 가상아이피로 사용중입니다..
그리고 제가 궁금해하는 DMZ구간은.. 솔라리스 두번째 랜카드에서.. 123.123.123.129가 들어가있구요.. 웹서버에서는 IP가 123.123.123.130으로 NIC에 도메인등록되어 있구요.. 웹서버의 게이트웨이는 솔라리스 머신의 123.123.123.129번이 됩니다..
이렇게 구성되어 있는 상태구요..
바로 시큐웍스 firewall이 운용되고 있읍니다..
문제는 제가 이부분의 지식이 없는 관계로 그나마 리눅스는 자신이 있어서 리눅스로 머신을 운영하고자 하는데 애로사항이 생깁니다..
위와 같은 경우에 리눅스에선 어떻게 처리해야 하는지 궁금합니다..
지금의 상태에선 제가 할수 있는경우는 ISP업체에 연락해서 IP대역을 다시금
123.123.123.0/24로 잡아달라고 요청한후
리눅머신의 첫번째 랜카드에 123.123.123.130을 넣고
두번째에 172.32.1.1을 넣고(웹서버를 위한)
세번째에 192.168.1.254(내부망을 위한)
그리고 나서 웹서버에 172.32.1.1을넣고 리눅머신에서 포워딩을 웹서버로 해줘야 겠지요..
이 방법이 최선의 방법일까요?
답변 부탁드립니다..
그런데.. DMZ을 자체적으로 구성해야 한다고 하셨는데...
글쎄요... 그부분이 제가 부족해서리.. 어떻게 돌아가는지 모르겠네요..
일단 저의 환경을 상세히 말씀드리면...
예를 들어.. 데이콤에서 123.123.123.0/24 이렇게 C클래스를 할당해주었다고 하고요..
실제 C클래스를 받았고.. 수치만 제가 임의적으로 써넣은 겁니다..
그리고 DMZ을 위해 위에 C클래스를 서브넷했다고 합니다..
123.123.123.0/128(저희 네트워크에서 공인IP로 사용할수 있는 영역)
123.123.123.128/128(이부분이 DMZ 구간으로 사용할수 있는 영역)
이렇게 된상태에서 ISP업체에서 장비를 하나 올렸읍니다..
L2_Switch이면서 ISP업체에서 내부로 끌어온 광케이블이 연결되어있구요..
그 스위치는 포트가 6개인데.. 1번포트가.. 솔라리스 머신의 첫번째 랜카드에
꽂혀 있읍니다.. 그리고 솔라리스 머신의 두번째 랜카드가 웹서버에 크로스로 연결되어 있구요.. 세번째 랜카드는 가상망 192.168.1.0/24로 NAT를 사용하기 위해 내부 스위치에 연결되어 있읍니다..
위와같이 망이 구성되어 있고.. ISP업체에서 대여해준 나머지 포트에 공인 IP를 넣고 컴터를 연결하면 인터넷이 됩니다.. 그러나 DMZ구간으로 할당해준 IP를 넣으면 인터넷이 되지 않습니다..
솔라리스 머신을 설명을 드리면...첫번째 랜카드에 123.123.123.2를 넣었구요..
이때 게이트웨이는 ISP업체에서 지정해준 123.123.123.1입니다..바로 L2_Switch겠지요.
세번째 랜카드는 192.168.1.254로 잡아서 내부에서 192.168.1.0/24를 가상아이피로 사용중입니다..
그리고 제가 궁금해하는 DMZ구간은.. 솔라리스 두번째 랜카드에서.. 123.123.123.129가 들어가있구요.. 웹서버에서는 IP가 123.123.123.130으로 NIC에 도메인등록되어 있구요.. 웹서버의 게이트웨이는 솔라리스 머신의 123.123.123.129번이 됩니다..
이렇게 구성되어 있는 상태구요..
바로 시큐웍스 firewall이 운용되고 있읍니다..
문제는 제가 이부분의 지식이 없는 관계로 그나마 리눅스는 자신이 있어서 리눅스로 머신을 운영하고자 하는데 애로사항이 생깁니다..
위와 같은 경우에 리눅스에선 어떻게 처리해야 하는지 궁금합니다..
지금의 상태에선 제가 할수 있는경우는 ISP업체에 연락해서 IP대역을 다시금
123.123.123.0/24로 잡아달라고 요청한후
리눅머신의 첫번째 랜카드에 123.123.123.130을 넣고
두번째에 172.32.1.1을 넣고(웹서버를 위한)
세번째에 192.168.1.254(내부망을 위한)
그리고 나서 웹서버에 172.32.1.1을넣고 리눅머신에서 포워딩을 웹서버로 해줘야 겠지요..
이 방법이 최선의 방법일까요?
답변 부탁드립니다..
