IP 공유기의 DMZ 기능은 어떻게 구현한거죠?
글쓴이: yeppiguy / 작성시간: 목, 2003/10/30 - 8:08오후
IP 공유기의 DMZ 기능을 Linux에서 iptables로 유사하게 구현할 수 있나요?
iptables의 SNAT와 DNAT로 아래와 같이 해 보긴 했지만,
ftp,telnet 모 이런 서버는 정상적으로 동작하는데,
MSN의 음성채팅과 같은 어플리케이션은 동작하지 않네요...
혹시 아시는 분 있음 알려주세요....^^
WAN_IPADDR=
LAN_DMZ_IPADDR=
iptables -t nat -A PREROUTING -p all -i eth0 -j DNAT --to $LAN_DMZ_IPADDR
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source $WAN_IPADDR
Forums:
Re: IP 공유기의 DMZ 기능은 어떻게 구현한거죠?
MSN의 음성채팅이나 파일 전송 등은 DMZ로 해결되는 문제가 아닙니다. 흔히 말하는 DMZ는 단순히 IP의 시작/끝 주소나 TCP/UDP의 포트번호만 바꿔주는 NAPT 작업이기 때문에, 프로토콜이 패킷 내용에 내부망 IP를 넣어둘 경우는 제대로 동작하지 않습니다.
MSN의 음성채팅, 파일 전송, FTP 등 처럼 패킷 내부에 자기 IP를 기록하는 프로토콜들은 패킷 내용을 적절히 변환하여 내부와 외부를 연결해주는 프록시(내지는 application gateway)가 필요합니다. 프록시는 별도의 user-level 프로그램으로 만들 수도 있지만, 리눅스 커널 내에 nat-helper 모듈들처럼 만드는 것이 이상적입니다.
MSN 음성 채팅을 원하시는거라면 H.323 helper 모듈을 찾아보세요. MSN 파일 전송은 reaim이라는 프록시도 있습니다.
MSN 6.0의 음성채팅은 SIP를 사용하는 것으로 알고 있고 패킷 캡쳐
MSN 6.0의 음성채팅은 SIP를 사용하는 것으로 알고 있고 패킷 캡쳐를 해 보니까,..실제로 SIP SDP들이 지나가는 것들이 보이네요...
암튼,... 제가 사용하는 상용 IP 공유기에서는 별도의 상위 어플리케이션 설정없이(의심나서 모든 설정을 지우고) DMZ로만 셋팅하고도 내부망 PC에서 MSN 6.0 음성채팅이 되는 것을 확인했습니다.
님이 말씀하신 것처럼 패킷 내부에 IP정보가 포함되어 있다면 더더구나 iptables의 NAT가지고는 해결이 되지 않을 거 같은데, 그럼 일반 IP공유기 들은 이런 부분을 어떻게 해결했을까요? 과연 DMZ는 어떻게 구현했을까요?
혹시 가상 IP나 Gateway를 지정하여 출구를 열어두는 방법은 없나요?
PS:
iptables 에서는 Symetric NAT나 Fullcone NAT 처럼 in/out 포트번호가 동일하게 매핑되는것을 보장하나요? 대부분의 공유기들이 Fullcone NAT처럼 동작하는 것 같던데....
댓글 달기