Pfsense에서 포트포워딩(NAT) 하기.
작성한지 좀 오래된 글이긴 하나
설정법은 현재도 동일할것으로 보이니 참고하시면 되겠습니다.
하늘위의하늘
방화벽을 쓰던. 쓰지않던 홈 네트워크 환경에서는 공유기를 통해 포트포워딩이 기본적으로 가능하다.
물론, 공유기에서 바로 직접적으로 연결되기 때문에 보안적으로 취약하다.
그래서 보안 향상을 위해서 내 홈서버에 pfsense를 설치했고 가장 기본적인 포트포워딩을 첫번째로 가이드 해보고자 한다.
설치하고나서 시간이 꽤 지나서. .IP가 조금씩 바꼈다.
WAN : 192.168.1.x
LAN : 192.168.10.1
이렇게 설정된 상태에서 일반 WAN망
즉, 위 사진에서 봤을때 VM에서 WAN IP인 192.168.1.X로 통신을 한다면 아래와같이 실패가 될것이다.
왜냐하면, pfsense 에서 기본적으로 개인네트워크 용으로 사용된 IP주소들을 차단하기 때문..(ex. 192.168.x.x,172.16.x.x)
모든 설정은 PfSense Lan주소(192.168.10.1)로 들어가서 진행한다.
WAN설정
맨아래 Reserved Networks 까지 내려가서
Block private networks 와 loopback addresses 옵션을 끄자.
*Block bogon networks는 bot 차단을 하는것인데 웹을 운영하기 때문에 이것도 끄겠다.
WAN설정을 마치고 SAVE -> APPLY를 하고 다시 ping을 Pfsense IP로 때려보면 통신이 잘되는걸 확인할 수 있다.(Ping은 막혀있으니 다른거 체크.
포트포워드 설정
메뉴 탭에 NAT 진입
새로운 Rule Add
수정해야 할 부분은 Destination,Redirect target IP 쪽이다.
포트포워딩 자체가 WAN으로 들어오는걸 내부망에있는 IP와 매칭시켜주기 때문에 source부분은 놔두면 된다.
Before
After
이렇게 하면 WAN IP의 3389로 접근하게되면 내부망의 TEST_VM(192.168.10.10)의 3389 포트로 자동 연동된다.
테스트 완료.
달소
1등 해보겠습니다. ㅎㅎ
감사합니다
넵ㅎㅎ 안되시면 댓글이나 글남겨주세요
통신구간구간마다 확인이필요합니다!
2등 위에 세팅은 잘됩니다. 원격도 붙고요...
PING
VM <-> VM
VM <-> 물리
VM <->외부
이제 남은건 NGINX 세팅일까요? ㅎㅎ;;
공유기 포트 포워드를 엔진엑스로 쏴줘야 하는군요 ㅎㅎ;; 해결 되었습니다. ㅎㅎ
오 해결되셨다니 다행이네요.
이제 nginx 셋팅만하시면될거같습니다.
먼저 테스트페이지를 만들어서 띄워보고 그다음 리버스프록시를 테스트하면될거같아요
꼬였었나 보네요.
Nginx Guest os 새로 설치하고 기본 세팅했습니다.
Nginx 1개 서버 도메인 등록하고
서브로 /app1/images를 location으로 빼고
8012 9998포트로 각각 연결해보니 잘됩니다.
Pfsense 기분 Wan에 물려 있는 내부ip입니다.
0. Pfsense 기준 nginx 에서 외부wan으로 받아서 lan ip로도 연결이 가능한건가요? (물리/논리 ip 쓰니깐 헷깔리네요.) 보안상 wan-> lan 연결이 좋아 보여 서요. ㅎㅎ
1. Nginx에 도메인 여러개 구성시 하나에 conf 파일에 등록하면 안되는지요?
2. Pfsense 내부 ip끼리도 존을 따로 구성 하고 싶은데요. 혹시 설정 하셨는지요?
3. 최초 설정시 이것저것 설치도 하고 방화벽을 열어 두었는데요. 필수로 닫아야 하는게 있는지요.
4. 보안상 주기적으로 해주시는게 있는지요?
5. Exsi host에서 직접 guedt os 열어서 작업시
복사 붙이기 안되나요? ㅜㅡ불편해서요 ㅎㅎ
엄청 많네요.
감사합니다
후아 댓글이 늦었습니다 ㅠ 축구본다고.. 아침에 시체로..
0. 보통 통신은 공인 IP -> 공유기 -> PFSENSE -> 내부 nginx 이렇게 가는게 안전합니다.
1. 관리를 위해서는 도메인별 conf 파일을 생성하시는걸 추천드립니다. ex) file.svrforum.com, blog.svrforum.com
2. 가상 스위치를 만들어서 구분하는방식이 있고 VLAN을 쪼개서하는방식도 있겠네요. 저는 따로 구분하지않았습니다.
3. 이부분은.. 자유의 영역인지라.. 4번을..
4. 제가 Pfsense를 쓸때는 Suricata를 패키지로 설치해서 IPS로 사용했습니다. (주기적 탐지/차단)
5. 내부망으로사용하는 경우에는 내부망 전용 WIndows를 만들어서 putty나 mremoteng 같은 클라이언트 툴로 접근하시는게 편합니다. 아니면 Cockpit 같은 터미널 접근 툴도있구요.
답변이 되실지모르겠네요!
답변 감사합니다. 해야 할것이 너무 많네요.
1번은 서브 도메인가요?
별도의 도메인가요?
보통 location / app1
/ app2
이런식으로 했는데요. 앞쪽도 변경이 가능한가요?
앗 서브도메인이거나 다른주소입니다. duckdns를 사용하시니 기본적으로 xxx.duckdns.org를 사용하실텐데
xxx1.duckdns.org, xxx2.duckdns.org 이런식으로 넣어주시고
conf 파일내부에는 location / { 이런식으로 루트부터 시작하는게 좋습니다
두개 발급을 받야 하는건가요?
1번 duck 2번 duck 이런식으로...
같은줄 알았는데 다른 도메인었나 봅네요 ㅎㅎ
하나의도메인에서 /app1 이런식으로 경로로도.. 문제는 없을수도있지만 개인적으로는 서브도메인으로 깔끔하게 운영하는게 좋다고 생각해서요.
커피3잔아끼시고 도메인하나 구매하시면됩니다!
커피 그리 비싼가요.... 봉지 커피만 마셔요 ㅎㅎ;
ㅎㅎ 도메인하나 사두면,,든든합니다
3등 세팅하다가 https://suk1387duckdns.org 로 접속이 되었는데 (실제로 내부에서 접속인 듯 합니다.)
내부에서는 ping 쏴도 공인 IP에 : 80 :443 잘 들어가는데요..
wifi 연결 끊고 휴대폰으로 접속하면 접속이 안되네요..
외부 연결 안되는줄 꿈에도 몰랐네요.. ㅎㅎ
요약하면
내부 네트워크로 https://suk1387duckdns.org 접속되는데요.. 내부끼리는 통신 잘되구요
ex) 노트북(win10) 원격 -> vm win10 접속 ok
pfsense 방화벽도 webConfigure Site vm내부에서 접속 하니 잘됩니다.
NGINX는 호스트 PC IP로 프록시 패스하면 연결되구요 (내부 네트워크 접속)
VM IP로 프록시 패스하면 연결 됩니다. (내부 네트워크 접속)
무언가 놓치고 있을까요? ㅎㅎ;;
흠,, 도메인으로 접속이 가능했다면 공인 ip를 타고 접근이 됐다고보이는데,, 신기하네요
사진으로 글을남겨주시면 이해하는데 더 도움이 될거같습니다.
말씀해주신 내용설명 + nginx 기본페이지 공인 ip로 띄우기
차근차근 한단계씩 하시면 금방하실거같습니다!
다소 당황스러운 상황입니다. ㅎㅎ
pfsense에 내부 VM ip에서 웹 접속만 가능하고 노트북 WAN IP로는 접속이 상황이네요? 음...
VM IP외에는 노트북 IP로는 PFsense IP에 접속이나 PING 들어가지가 않네요 ;;
뭔가 Pfsense에서 열어줘야 할것같은데요 오늘도 밤샘 각이네요 ㅠ
아마 지금 PFsense 우회해서 통신이 되는거 아닌가 생각듭니다.
(PFsense가 보기에는 WAN IP로 연결해서 통신을 하는 중인 상황이네요..)
공유기 IP 할당 노트북 -> (PFSense 무시) -> NGINX도 공유기 할당 IP <-서버 통신-> 결과값 리턴.
이러면 외부에서 통신이 안되는게 맞는것 같습니다.
어렵네요..
글 상단의 Block private networks 이건 체크 해제하셨겠죠??
넵 저 부분 해서 했습니다.
여러번 확인했습니다. ㅎㅎ
흠... 정상적이라면
내부ip > 공유기 밖 > 도메인 > 공유기 > pfsense > 웹서버 이렇게 통신이 되야할거같습니다
이상해서 netgear 공유기 에서 제공하는 무료 ddns로 conf파일을 구성해서 접속해보니 접속되네요..
현재 HTTPS:443 Let’s Encrypt 인증 받아서 세팅해둔상태인데요.. (사실 내부에서만 접속 되는 상황)
인증서 걸치지 않고 80으로 넷기어 ddns로 접속하니 외부 젒속 ( WIFI 연결 해제하고 스마트폰으로 접속)
지금 엔진엑스 세팅은 샘플 페이지 + SSL 인증서 연결 정도인데요... 음...
외부 접속 연결은 문제 없네요... NGINX CONF 파일 세팅을... 다시 해봐야겠네요..
10줄이 안되는 지라... 의미가 있나 모르겠습니다. ㅎㅎ
443 포트가 포워딩이 열리지가 않네요 ;;
80옆에 443포트가 잘 붙어 있는데 말이지요.. ;;
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
