현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

iptables을 이용한 내부 인터넷의 서버로의 포트포워딩 질문입니다.

antslee602의 이미지
글쓴이: antslee602 / 작성시간: 화, 2009/08/18 - 7:00오후

현재 제 홈 네트워크 구성이..

WAN --- 공유기 ---- 서버컴1 (192.168.0.10)
        ㄴ--- 서버컴2 (192.168.0.20)

이렇게 공유기 하단부 사설망에 서버컴2대가 연결되어 있고
공유기 자체내 DMZ 설정으로 외부에서 접근할 시 서버컴1에 모든 포트를 몰아준 상태입니다.
둘 다 centos 5.3 32bit이 설치 된 상태입니다.
각각 이더넷카드는 1개만 설치되어 있습니다.

각각 ftp서버가 설치 되어 있고, 각 포트는 21 포트를 사용합니다.
ddns를 이용하여 개인 도메인(exam.net)에 연결되어 있습니다.

원격에서 사용자가 ftp client를 사용하여 exam.net으로 접속을 시도하면 서버컴1(192.168.0.10:21)로 잘 접속이 되는데
만일 exam.net:7000으로 접속을 시도할 경우 이때도 서버컴1로 접속이 들어오는데,
서버컴1이 iptables 규칙을 사용하여 서버컴2의 21포트(192.168.0.20:21)로 넘길 수 있는 방법을 알고 싶습니다.

*물론 공유기 내의 포트포워딩 설정을 해도 해결된다는 것은 알고 있습니다

현재 서버컴1의 iptables 구성은 다음과 같습니다.

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.20:21
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [565:40050]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

여기서 뭘 더 어떻게 수정해야할까요...

현재는 ftp만 설정되어있지만 ssh외 기타등등도 모두 저런식으로 해결할 예정입니다.

Forums: 
설치 및 활용 QnA
joon의 이미지

글쓴이: joon / 작성시간: 화, 2009/08/18 - 7:13오후

답이라고 하기는 좀 그렇고요

서버컴1 이랑 서버컴2 를 ipip로 터널링 설정을 합니다.

서버컴1 서버컴2
192.168.0.10 -- LAN -- 192.168.0.20
192.168.x.10 -- IPIP -- 192.168.x.20

그리고 서버컴1:7000/tcp 로 들어오는 패킷을 터널링 설정한 IP인 192.168.x.20 로 DNAT 시킵니다.

서버컴1이 서버컴2으로 패킷을 조작하여 보낼려면 이 방법이 제일 간단할 듯 싶습니다.

죄송합니다. - -;;

bushi의 이미지

글쓴이: bushi / 작성시간: 목, 2009/08/20 - 11:38오후

*nat

-A PREROUTING -i eth0 -d 192.168.0.10 -p tcp -m tcp --dport 8080 -j DNAT --to 192.168.0.20:80
-A PREROUTING -i eth0 -d 192.168.0.10 -p tcp -m tcp --dport 2222 -j DNAT --to 192.168.0.20:22
-A POSTROUTING -o eth0 -p all -j SNAT --to 192.168.0.10
어떤 문제가 생길지는... 머리가 아파서 생각 못하겠습니다 t.t

+

노파심에... 늦게나마 덧 붙입니다.

$ sudo su -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
를 해줘야하고,
앞으로도 계속 써야하니 /etc/sysctl.conf 에도 net.ipv4.ip_forward=1 을 해주세요.

ftp 는... 서버를 passive mode 로 설정하고 데이타포트를 30000~31000 으로 정했다면

-A PREROUTING -i eth0 -d 192.168.0.10 -p tcp -m tcp --dport 30000:31000 -j DNAT --to 192.168.0.20
처럼 그대로 넘겨주면 되겠습니다.

OTL

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.