RockyLinux강좌06: RockyLInux의 MASQ, SNAT, DNAT 기능 요약

IP Masquerade ( MASQ, 또는 IPMASQ)

 ->NAT기능이며, 사설IP주소를 가진 내부의 컴퓨터들이 IPMASQ서버(방화벽장비 또는 리눅스등)를 통해 외부의 인터넷인 다른 네트워크로 접속할 수 있는 것.

 ->이기능을 하는 방화벽장비등은 랜카드가 반드시 최소 2개이상이어야 한다. 하나는 내부IP 할당, 다른 하나는 공인IP할당이어야 한다. 

 -> 내부컴터들은 방화벽의 내부IP주소를 게이트웨이로 설정해야 한다. 

 -> 이렇게 내부컴터들은 이런 기능을 하는 방화벽을 통해서 외부로 연결될때 방화벽의 공인IP를 사용하게되는 기능을 마스커레이딩이라고 한다. 

SNAT(Source NAT)

 -> 출발지주소를 변경하는 NAT

 -> 사설IP를 가진 컴터에서 방화벽을 거쳐 외부의 컴터로 접속하고자 할때 외부컴터는 방화벽의 공인IP주소에서 접속한 것으로 인식하게된다. 

 -> 이에 응답을 하기 위해 외부컴터는 방화벽의 공인IP로 응답패킷을 보낸다. 

 -> 그러면 방화벽은 다시 이 패킷을 목적지로서 사설IP주소로 변경하는데 이것을 SNAT라고 한다. 

DNAT(Destination NAT)

 -> 목적지(도착지)주소를 변경하는 NAT

 -> 외부컴터에서 내부사설IP주소를 가진 서버로 접속하고자할때 방화벽에서 내부컴터로 IP주소를 변경하는 것을 DNAT라고한다. 

리눅스서버의 방화벽기능 끄기
grubby --update-kernel ALL --args selinux=0

또는

systemctl stop firewall        : 현재 방화벽서비스 해제

systemctl disable firewall     : 재부팅시에도 방화벽 실행하지 않도록 설정

firewall-cmd --list-ports     : 방화벽에 등록된 포트리스트 가져오기

firewall-cmd --permanent --zone=public --add-port=8080/tcp   : 방화벽에 포트 등록하기

firewall-cmd --reload           : 그런 다음 방화벽 재시작

firewall-cmd --permanent --add-service=http               : 방화벽에 http 서비스허용 등록

firewall-cmd --permanent --add-sesrvice=https            : 방화벽에 https 서비스허용 등록

firewall-cmd --reload

여기에 iptables 방화벽도 함께 켜고 끄는 것을 알아두면 좋다. 

service iptables stop  : 끄기
iptables -L             : 확인

service iptables start  : 켜기

iptables -L            : 확인