NAT(Network Address Translation) 방화벽 설정#1

많은 사람들이 NAT를 구성할 때 방화벽 내부의 서버는 당연히 사설 IP를 사용하여야 한다고 알고 있다.

하지만 ‘공인IP로 설정하면 문제가 될까?’ ‘NAT 자체가 구현 불가능할까?’라는 호기심이 발동하게 된다.

결론부터 이야기하면 공인이든 사설이든 관계없이 NAT 구현이 가능하다.

NAT는 단지 패킷의 소스나 목적지 IP 주소를 변환시켜주는 역할만 할 뿐 그것이 반드시 사설이든 공인이든 관계없기 때문이다.

예를 들어 살펴보자.

이를테면, NAT 내부의 서버에 해당 네트워크에 할당되지 않은 임의의 공인 IP, 이를테면 미국의 한 기관에 할당된 IP 대역으로 사용할 경우 다른 접속은 문제가 없지만 미국의 해당 기관에서 서버에 접속하면 내부 서버에서는 소스 IP를 로컬 네트워크의 IP로 인식하므로 자기 자신에게 응답하게 되어 결국 해당 기관에서는 서버에 접속하지 못하는 결과가 생기게 된다.

또한 네트워크에 할당된 다른 공인 IP를 사용할 경우에는 특별한 문제가 없이 바로 사용 가능하다.

그러나 내부 서버가 공인 IP라 하더라도 사설 IP와 마찬가지로 방화벽 내부의 공인 IP로 직접 접속할 수는 없다.

만약 내부의 공인 IP로 접속하기 위해서는 NAT 장비를 거쳐 가야 하므로 방화벽 앞단의 라우터에서 별도의 라우팅 설정을 해 주어야 한다.

이를테면 NAT 방화벽의 IP는 211.47.64.1이고, 내부의 서버는 211.47.65.0/24 대역을 사용한다면 211.47.65.0/24 대역을 목적지로 한 패킷은 211.47.64.1로 가도록 하여야 하므로 라우터에서 아래와 같이 추가 설정해 주어야 한다.

즉, 이 경우는 방화벽 IP인 211.47.64.1로 접속하여 내부의 211.47.65.0/24 대역의 서버에 접속했다면 NAT이지만, 211.47.65.0/24 대역의 서버로 직접 접속했다면 주소 변환이 이루어지지 않았으므로 NAT가 아니라 단순한 라우팅이라 할 수 있을 것이다.

이렇듯 NAT 내부를 공인 IP로 사용할 경우에는 고려해야 할 점도 많고 몇 가지 문제가 있는 것을 알았다.

따라서 굳이 내부 서버에 공인 IP를 할당하여 사용할 필요가 없으며 만약 사용하고자 할 경우에는 7.5절에서 살펴볼 브리지(bridge 또는 transparent 또는 TP모드) 방화벽을 이용하면 쉽게 해결된다.

실제로 최근에는 서버에서 공인 IP를 그대로 사용하면서도 방화벽 사용이 가능한 브리지 방식의 방화벽이 많이 사용되고 있다.

참고로 브리지 방식은 라우팅 방식의 NAT와 달리 패킷의 IP 정보 등을 변경하지 않고 마치 스위치와 같이 패킷을 그대로 통과 또는 걸러내는 역할을 한다.