방화벽 NAT NAT 설정 방법 NAT 예제 NAT 쓰는 이유 NAT IP NAT 사용 NAT 구성 NAT 종류

방화벽 NAT 설정 - banghwabyeog NAT seoljeong

IP에는 크게 두 가지 종류가 있다.

  • Public(공인) IP: ISP가 제공, 인터넷 사용 가능, 돈내야함.

  • Private(사설) IP: 무료인 대신 인터넷 사용 불가 

Network Address Translation

네트워크 계층 : L3

왜 NAT가 필요한가?

1. 공인주소 절약:
공인주소의 수는 제한되어 있는데,
NAT를 통해 여러 개의 사설주소가

한정된 공인주소 공유 가능

2.  보안적 측면:
중요한 데이터가 있는 서버가
공인 주소를 가지고 인터넷에 접속하면
외부에 노출되는 위험이 존재하는데,

NAT를 통해 보안 위험 예방 가능

따라서 인터넷과 서버(사설IP) 사이에 공인IP를 가진 NAT 장비를 놓고,
필터링을 거친 트래픽만 받을 수 있게 한다.
(NAT기능만 있는 장비가 있기도 하고, 라우터 또는 방화벽에서 NAT기능을 지원하기도 함)

3. 운용의 편리성:

사설주소들에 공인주소 한 개가 연결되어있다면

ISP사업자와의 계약이 끝나 공인주소가 바뀌어도

모든 서버의 주소를 다 바꿀 필요 없고,

바뀐 공인주소와의 MAPPING만 새로 하면 설정 변경 끝

NAT는 어떤 기술인가?

IP 헤더를 다른 주소로 바꾸는 기술

사설 주소 호스트들이 인터넷 서비스를 이용할 수 있게 사용함

Static NAT

- 고정된 서비스를 제공하는 서버(웹서버, FTP서버, DNS서버 등) 등에서 할당하는 방법 (1:N)

- 항상 특정(지정된) 사설 IP가 특정(지정된) 공인 IP로 변경된다 = 고정된 공인주소와 매핑된다.

- 1:1대응 할당 (Inside address와 Global address)

- 사설망 서버가 외부에 공개되어야 하는 경우, 외부에서 사설에 먼저 접근 불가

예) 인터넷(외부)에서 접근해야하는 일관된 주소가 필요한 호스트일 때 유용

Dynamic NAT

- 공인IP사용 후 공인IP 반납하고 Global address pool에 담긴 공인 IP 주소 할당받는 방법 (N:N)

- 같은 local address여도 시간에 따라(동적으로) 부여 받는 공인주소가 달라질 수 있다.

- 고정된 서비스를 제공하는 서버에는 부적합

(현업에서는 잘 사용되지 않지만 PC와 같이 아무 주소나 사용해도 문제 되지 않는 경우 사용)

예) GCP 의 Internal (사설) IP & External (공인) IP

NAT 약점

1) 동시 접속자 수가 제한적(공인 주소 pool에 할당된 주소 개수만큼만 가능하기 때문에)
=> 해결방법: nat overload (src port를 다르게 하여 동일한 주소 사용) 
=> port가 동일해지면서 collision이 일어나면, 공인주소 추가 확보하면 가능 

2) Dynamic NAT의 경우, 밖에서 안으로 못 들어오는 보안효과가 생겨버림

밖에서 접속이 필요한 경우 문제가 됨

=> 해결방법: Static NAT  (사설IP: 공인IP  = 1:1)

Static NAT 설정한 후, 외부 3.3.3.2 에서 100.100.100.254로 PING 

PAT

Port Address Translation 

동적NAT의 한 형태

포트를 변환하는 PAT

- 한개의 공인 주소를 여러 개의 사설 주소가 공유하는 방법

예) 10.1.1.1:1040, 10.1.1.1:1041, 10.1.1.1:1042/ 공유기통신

- 동적 NAT는 POOL에 특정 범위의 공인IP가 들어있다면, PAT는 POOL에 하나의 IP가 담겨 있지만 그 IP의 포트번호가 모두 다름

- 모두 똑같은 공인IP를 사용하여 외부와 통신하면 응답 트래픽 식별이 불가능하기 때문에, L4헤더의 출발지 포트번호를 함께 Mapping해두어 트래픽을 구분한다.

- 서로 다른 장비가 동일한 port번호를 가지면 NAT장비에서 해당 출발지 포트 번호를 임의 변경

실습

[인터넷 라우터를 반으로 나눌 때 그 윗부분이 outside, 아랫부분이 inside]
# int fa 0/0 
# ip nat inside
# no shut
# ip add 10.1.1.1 255.255.255.0

# int fa 0/1 
# ip nat outside
# no shut 
# ip add 100.100.100.2 255.255.255.0

[ 사설 주소 ]
# access-list 1 permit 10.0.0.0  0.255.255.255 

[ 공인 주소 ]
# ip nat pool test 100.100.100.3 100.100.100.254 netmask 255.255.255.0

nat 설정을 키는 순간 Proxy ARP 기능이 켜진다: ARP에 대한 응답을 대신하게 된다.

[ 사설과 공인 주소 매핑 ]
# ip nat inside source list 1 pool test overload

실습 결과 nat 주소 변환 확인

- 내부에서 사용하는 ip주소 대역(10.1.1.2) 이 밖으로 나갈 때(global), 100.100.100.X 번대 주소로 바뀜을 확인할 수 있다.

관련 게시물

방화벽 앱 차단 - banghwabyeog aeb chadan
KMSAuto 바이러스 인식 - KMSAuto baileoseu insig

Toplist

최신 우편물

태그