리눅스 머쉰으로 방화벽 구축에 관한 질문입니다.
리눅스 머신을 이용하여 방화벽을 구축하려고 합니다.
현재 네트워크 구성은
외부라인(ISP) | iptables 마스쿼레이딩 스위치 -----리눅스머신 ------ 3ComHUB | | 각 공인아이피를 갖는 사내 컴퓨터들 사설아이피컴퓨터
이런상태인데요,
이번에 리눅스 박서를 좀더 상위..즉 ISP 회선 바로 밑단에 오게하여,
공인 아이피를 갖고있는 컴퓨터들에 대해도 변경 없이도,
방화벽으로 사용할 수 있게끔 하려고 합니다.
일단 혼자 생각한 바로는,
외부라인(ISP) | 리눅스머신 (Masqurade 혹은 NAT 설정) | 스위치 ----------------------- 3ComHUB | | 각 공인아이피를 갖는 사내 컴퓨터들 사설아이피
이렇게 구축을 해야 하는게 아닌가 생각이 되는데요,
여기서 문제는 리눅스머신에 ISP에서 직접 들어오는 라인을 물리는데,
스위치와 리눅스박스의 다른 랜카드끼리 크로스케이블로 묶어야 하는지,
Direct케이블로 묶여야 하는지 정확하게 모르겠구요..
물린 후 어떻게 리눅스 박스와 각 공인아이피 컴퓨터들이
아무런 문제 없이 정상적으로 공인아이피, 사설아이피를 사용하면서,
리눅스박스의 감시와 제어를 받을 수 있게 할 수 있느냐입니다...
실제로 게이트웨이로 쓰고있는 아이피는 ISP에서 정해준 것입니다.
이 부분을 바꾸게 된다면 일단 각 컴퓨터를 수정해야 하게 될것같은데, 그래선 안되는 상황이거든요..
저기서 리눅스 머신의 한개 랜카드(직접 외부라인과 물린)는 그쪽에서
정해준 공인아이피로 정하고(예 210.xxx.xxx.211), 나머지 랜카드의 아이피를 ISP의 게이트웨이로 정하고, 아이피알리아싱으로
사설아이피까지 한번에 설정해도 될까요?
아니면 리눅스머쉰의 랜카드 하나(ISP에 연결된)의 아이피를 ISP에서
알려준 게이트웨이대로 지정해 버려도 되는걸까요?
그리고 각 지정이 다 끝난후 Iptables에선 어떻게 마스쿼레이딩
혹은 NAT를 구성해줘야 할가요?
네트워크구성은 제가 생각한게 맞는것 같은데 그것에 맞게 설정을 어떻게 해줘야 할지 모르겠습니다.
길고 장황하게 써버린데다, 두서까지 없는듯 한데 그래도 도움 주시면 감사하겠습니다 ^^
생각했던대로
생각했던대로 네트워크 구성을 했으나, 역시 게이트웨이의 문제가 생겼습니다.
회사에서는 드림라인을 사용하며, 드림라인에서 제공한 게이트웨이는 59.150.52.1 인데, 자꾸 충돌이 나서,
결국 eth0 에는 드림라인 을 직접 물리고, 거기서 우리에게 할당해준 아이피중 하나를 부여햇고(공인),
다른 랜카드(eth1)에는 크로스케이블로 스위치와 연결한 뒤 192.168.1.1 이라는 가상아이피를 설정하여
결국 공인아이피 한개를 공유하는 꼴로,
회사 내 컴퓨터의 게이트웨이를 eth1의 아이피로 잡아주는걸로 말았습니다.
이렇게 한다해도 역시 게이트웨이를 직접 수정해 줘야해야했습니다....
만약 스위치에 콘솔로 접속 할 수 있다면 좀 더 쉬워지는걸까요?
스위치는 L3 스위치입니다....하루종일 삽질하다 포기하는군요 흑
좀더 생각좀 해보고 다시 삽질해봐야 하는데, 직원들이 모두 퇴근한 시간에서야 테스트가 가능하다는 점이
매우 힘드네요.....도움부탁드립니다 ^^
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
잘은 모르지만
리눅스 박스가 브릿지로서 작동 하도록 설정해야 하는 것 아닌가요?
구글사마에 링크가 있군요.
http://wiki.kldp.org/wiki.php/DocbookSgml/BridgeFirewall-HOWTO
"ubuntu everywhere"
"ubuntu everywhere"
라우터와의 연결이
라우터와의 연결이 필요한데, 라우터에서 달려오는 라인은 다이렉트라인인듯 합니다...
이 라우터부분은 ISP 에서 특별히 알려준게 없어서 어찌해야 할지 모르겠군요...
라우터를 따로 둬야 하는건가요?
스위치나 허브, 다이렉트 케이블로 직접 연결하는 경우는 불가능한걸까요??
감사합니다. 좀더 참고하고 생각해서 여러번 삽질 해봐야겠습니다.. ^^
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
Proxy ARP 를 이용해 보세요.
이더넷에서는 MAC 주소를 이용하는 것을 아시지요?
ARP 요청/응답을 이용해 MAC 주소를 알아내는데,
Proxy ARP는 자신의 라우팅 테이블 안에 포함된 IP 주소에 대한 ARP 요청이 들어오면
자신의 MAC 주소를 담아 응답 패킷을 보냅니다.
HTTP Proxy랑 비슷하지요?
브릿지보다 설정이나 관리가 간편하면서
덜 까다롭기 때문에 응용할 수 있는 범위도 넓습니다.
단, 라우팅 테이블 관리를 잘못하면 혼란이 생길 수 있지만
관리자의 실수가 아니고는 라우팅 테이블이 꼬일 일은 없지요.
구체적인 예)
eth0이 인터넷(1.2.3.4/24, GW1.2.3.1)
eth1이 로컬넷(10.0.1.11/8) 이라면
# ip a a 1.2.3.4/24 dev eth0
# ip l s eth0 up
# ip r r default via 1.2.3.1 dev eth0
# ip r d 1.2.3.0/24 dev eth0
# ip a a 1.2.3.4/24 dev eth1
# ip l s eth1 up
# ip a a 10.0.1.11/8 dev eth1
!! eth0, eth1에 동일한 공인 IP를 설정하고
!! eth0에서 공인 IP블록에 대한 라우팅 룰을 지우는 것이 핵심입니다.
# sysctl -w net.ipv4.conf.eth0.proxy_arp=1
# sysctl -w net.ipv4.conf.eth1.proxy_arp=1
스위칭 허브 아래에서 공인 IP를 쓰는 머신은 리눅스 박스가 없는 것처럼 IP와 게이트웨이를 설정하고, 사설 IP를 쓰는 머신은 리눅스 박스를 게이트웨이로 지정하면 됩니다.
放下着-----
내려놓으려는 마음도 내려놓기
放下着-----
내려놓으려는 마음도 내려놓기
음?? 답변 감사합니다
음?? 답변 감사합니다 ^^
그런데, 네트워크 구조는 제가 두번째로 그린 그림대로 설정하면 되는건가요?
ISP -> 리눅머쉰 eth0 -> eth1 -> 스위치 -> 각 네트워크
이렇게 구성한뒤 Proxy_ARP를 이용하여 구성하라는 말씀이시죠?
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
ISP-[eth0 eth1]-스위칭 허브-
네 말씀하신 것처럼 구성합니다.
스위칭 허브 아래 공인 IP를 쓰는 머신들은 리눅스박스가 없는 것처럼 동작합니다. 이런 걸 보구 아마 투명하다고 말하지요?
혹시 '프리미르'라구 아세요?
放下着-----
내려놓으려는 마음도 내려놓기
放下着-----
내려놓으려는 마음도 내려놓기
답변
답변 감사드립니다.
지금 그렇게 테스팅해보려고 합니당...
해보고 다시 답변올릴께용...
프리미르라고 모르는데용 ^^
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
좀 헷갈리긴
좀 헷갈리긴 하지만..
'스위치'가 라우팅 기능이 있는건가요?
만일 없는거라면 제 생각에 모두다 3com 허브에 묶어놓고 리눅스 머신에서 라우팅 테이블에 공인IP쪽을 추가해서 공인IP는 일반적인 라우터로 작동하게 하고 사설쪽은 기존대로 작동하게 해도 될 듯 한데요.
설정은 저도 해본지 워낙 오래되서 답을 드릴수가 없겠네요. ㅡ,.ㅡ
-- Signature --
青い空大好き。
蒼井ソラもっと好き。
파란 하늘 너무 좋아.
아오이 소라 더좋아.
댓글 달기