[해결]pfSense 포트포워딩 외부접속은되는데 내부에서는 외부IP로 접근 안됨

쓰기

[해결]pfSense 포트포워딩 외부접속은되는데 내부에서는 외부IP로 접근 안됨

2020-09

2020-09-25 22:07:38

조회 6554 추천 0

pfSense에서 포트포워딩 후
내부망 클라이언트 -> 서버IP = 정상접근
내부망 클라이언트 -> 외부IP = 타임아웃
내부망 클라이언트 -> 도메인 = 타임아웃
외부망 클라이언트 -> 외부IP = 정상접근
외부망 클라이언트 -> 도메인 = 정상접근

와 같은 상황입니다.

설정한 내용은 아래와 같습니다.

방화벽 / NAT / 포트포워딩 설정에서
인터페이스 : WAN
프로토콜 : TCP
출발지주소 : *
출발지포트 : *
도착지주소 : WAN address
도착지포트 : 8080
NAT IP : 123.123.123.123
NAT Port : 8080
NAT reflection : Use system default
이와 같이 설정하였습니다.

방화벽 / 규칙 / WAN 설정은 자동으로 생성되었습니다.
프로토콜 TCP / 출발지 * / 출발지포트 * / 도착지 123.123.123.123 / 도착지포트 8080

System / Advanced / Admin Access
DNS Rebind Check : 체크

System / Advanced / Firewall & NAT
NAT Reflection mode for port forwards : Pure NAT

왜 내부에서는 외부IP로 접근이 안될까요.

--------------------------------------

NAT Reflection mode for port forwards : Pure NAT -> NAT + proxy
TFTP Proxy : LAN 체크

짧은글 일수록 신중하게.



술이 2020-09 NAT 루프백 기본값은 대부분 방화벽단에서는 허용을 안해줍니다. 공유기같은건 되는데 아마 그렇게 하지 않는게 권고사항인거 같더라구요. 그래서 내부는 내부 IP로 접근하게 하고 외부는 외부IP로 접근하게 하는게 메뉴얼입니다. 자신이 나갔다 들어오는게 조금 규칙이... NAT 루프백 기본값은 대부분 방화벽단에서는 허용을 안해줍니다. 공유기같은건 되는데 아마 그렇게 하지 않는게 권고사항인거 같더라구요. 그래서 내부는 내부 IP로 접근하게 하고 외부는 외부IP로 접근하게 하는게 메뉴얼입니다. 자신이 나갔다 들어오는게 조금 규칙이...



양시열 2020-09 하지만 사용자는 일단 주소를 입력하고 보는데 허용하는것 말고는 방법이 없겠지요???? 다른 좋은 방법이 있으면 반영하는게 맞을것 같은데 일단은 기능부터 추가해보고 있네요. DDNS, openVPN설치 완료했고 내일은 openVPN IP를 계정별로 지정할 수 있나 알아봐야겠네요. 뭔가 쉬운듯하면서도 어려운것같습니다. 하지만 사용자는 일단 주소를 입력하고 보는데 허용하는것 말고는 방법이 없겠지요???? 다른 좋은 방법이 있으면 반영하는게 맞을것 같은데 일단은 기능부터 추가해보고 있네요. DDNS, openVPN설치 완료했고 내일은 openVPN IP를 계정별로 지정할 수 있나 알아봐야겠네요. 뭔가 쉬운듯하면서도 어려운것같습니다.



Quidn 2020-09 정확한 답변: 포트 포워드 설정에서 NAT reflection만 Enable(일반적인 경우 NAT + Proxy 추천) 하면 내부에서 바로 접근 가능합니다. 이런 pfSense의 기초 사용 방법은 해당 메뉴에서 물음표 아이콘을 클릭해 공식 문서를 보시는 게 빠르고 '정확한' 답을 얻을 수 있습니다. 실제로 포트 포워드 메뉴에서 물음표 아이콘을 클릭하시면 이 내용이 분명하게 강조돼 있습니다. WAN IP 주소에 포워드 설정한 포트를 내부향 인터페이스에서 접근하려면 NAT reflection을 반드시 활성화 해야 한다고요. 참고로 "나갔다 들어오는" 개념은 전혀 아니고요, 그렇게 쓰지 말라는 공식적인 권고도 매뉴얼도 존재하지 않습니다. 보안 정책에 따라 자율적으로 결정하면 될 일이나 정황상 내부 보안이 특별히 중요한 환경이 아닌 듯 보이므로 외부에서 아무나 접근 가능한 포트를 내부에서 접근하기 위해 굳이 복잡한 방법을 쓸 필요는 없다고 생각합니다. 내부용 DNS 서버를 운영하면서 방화벽과 서버에 룰을 추가하여 내부에서는 내부 IP 주소로 접속하도록 하면 NAT reflection 기능을 사용하지 않고도 내부에서 도메인으로 접속이 가능하게 할 수도 있기는 하고, 또 보안상 필요하다면 외부용 룰과 별개로 NAT reflection 기능을 사용하는 내부 전용 룰을 만드는 방법도 있고 목적을 달성하기 위한 방법은 여러 가지가 있습니다만... 보안 컨설팅을 해달라고 올리신 글이 전혀 아니므로 그저 있는 그대로, 되는 기능을 설정하는 방법을 알려드리는 게 가장 정확한 답이 되겠지요. -_-;;; 정확한 답변: 포트 포워드 설정에서 NAT reflection만 Enable(일반적인 경우 NAT + Proxy 추천) 하면 내부에서 바로 접근 가능합니다. 이런 pfSense의 기초 사용 방법은 해당 메뉴에서 물음표 아이콘을 클릭해 공식 문서를 보시는 게 빠르고 '정확한' 답을 얻을 수 있습니다. 실제로 포트 포워드 메뉴에서 물음표 아이콘을 클릭하시면 이 내용이 분명하게 강조돼 있습니다. WAN IP 주소에 포워드 설정한 포트를 내부향 인터페이스에서 접근하려면 NAT reflection을 반드시 활성화 해야 한다고요. 참고로 "나갔다 들어오는" 개념은 전혀 아니고요, 그렇게 쓰지 말라는 공식적인 권고도 매뉴얼도 존재하지 않습니다. 보안 정책에 따라 자율적으로 결정하면 될 일이나 정황상 내부 보안이 특별히 중요한 환경이 아닌 듯 보이므로 외부에서 아무나 접근 가능한 포트를 내부에서 접근하기 위해 굳이 복잡한 방법을 쓸 필요는 없다고 생각합니다. 내부용 DNS 서버를 운영하면서 방화벽과 서버에 룰을 추가하여 내부에서는 내부 IP 주소로 접속하도록 하면 NAT reflection 기능을 사용하지 않고도 내부에서 도메인으로 접속이 가능하게 할 수도 있기는 하고, 또 보안상 필요하다면 외부용 룰과 별개로 NAT reflection 기능을 사용하는 내부 전용 룰을 만드는 방법도 있고 목적을 달성하기 위한 방법은 여러 가지가 있습니다만... 보안 컨설팅을 해달라고 올리신 글이 전혀 아니므로 그저 있는 그대로, 되는 기능을 설정하는 방법을 알려드리는 게 가장 정확한 답이 되겠지요. -_-;;;

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

783/5590

번호	제목Page 783/5590	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1032123	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1032123 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (715)	정은준1	2014-05	4480503	0
[필독] 처음 오시는 분을 위한 안내 (715) 2014-05 4480503 1 정은준1
96152	밑에 델 C1100질문 올렸는데 추가 질문입니다... (2)	jack33	2020-10	2036	0
밑에 델 C1100질문 올렸는데 추가 질문입… (2) 2020-10 2036 1 jack33
96151	안녕하세요, Smart Array P420 Controller 호환성 여부 질문드려요 (2)	컴맹주니	2020-10	2035	0
안녕하세요, Smart Array P420 Controller… (2) 2020-10 2035 1 컴맹주니
96150	2cpu 메인보드에 수냉쿨러 하나로 두개 연결 할 수 있나요 ? (7)	잇킁	2020-10	4380	0
2cpu 메인보드에 수냉쿨러 하나로 두개 연… (7) 2020-10 4380 1 잇킁
96149	c1100 하드 인식 질문드립니다.	jack33	2020-10	1939	0
c1100 하드 인식 질문드립니다. 2020-10 1939 1 jack33
96148	윈도우 폴더에 debug파일이 몇개가 생겼습니다. (2)	pibang	2020-10	2842	0
윈도우 폴더에 debug파일이 몇개가 생겼습… (2) 2020-10 2842 1 pibang
96147	프린터에 따라서 문서에서의 표 테두리가 다르게 출력 (5)	pibang	2020-10	1926	0
프린터에 따라서 문서에서의 표 테두리가 … (5) 2020-10 1926 1 pibang
96146	administrator 계정 로그인시 블랙스크린 (5)	프랑	2020-10	2420	0
administrator 계정 로그인시 블랙스크린 (5) 2020-10 2420 1 프랑
96145	SATA to SAS 어댑터 질문좀..... (5)	FreeBSD	2020-10	2488	0
SATA to SAS 어댑터 질문좀..... (5) 2020-10 2488 1 FreeBSD
96144	Vsphere ESXI 6.7에서 관리포트 및 서비스포트 각각 LAN케이블 2개로 네트워크 이중… (1)	멜랑꼴링	2020-10	2906	0
Vsphere ESXI 6.7에서 관리포트 및 서비스… (1) 2020-10 2906 1 멜랑꼴링
96143	adobe audition 프로그램 사용해보신 분 계시나요? 녹음에 대한 문의 (4)	허인구마틴	2020-10	2928	0
adobe audition 프로그램 사용해보신 분 … (4) 2020-10 2928 1 허인구마틴
96142	방음랙은 어떤가요.... (26)	코더74	2020-10	3168	0
방음랙은 어떤가요.... (26) 2020-10 3168 1 코더74
96141	[질문] One more Step 보안설정화면,클라우드플레어.... (3)	RIGIDBODY	2020-10	4187	0
[질문] One more Step 보안설정화면,클라… (3) 2020-10 4187 1 RIGIDBODY
96140	SD카드 복구 프로그램 가장 유명한게 뭔가요? (10)	어훕	2020-10	2789	0
SD카드 복구 프로그램 가장 유명한게 뭔가… (10) 2020-10 2789 1 어훕
96139	엔비디아 단속법? (7)	NVLINK	2020-10	4174	0
엔비디아 단속법? (7) 2020-10 4174 1 NVLINK
96138	델 웍스 케이스 관련해서 질문드립니다. (10)	쉐이딩	2020-10	2700	0
델 웍스 케이스 관련해서 질문드립니다. (10) 2020-10 2700 1 쉐이딩
96137	테슬라 가이드 제거법. (2)	NVLINK	2020-10	2307	0
테슬라 가이드 제거법. (2) 2020-10 2307 1 NVLINK
96136	큰일이네요 패스스루 (4)	전진	2020-10	2738	0
큰일이네요 패스스루 (4) 2020-10 2738 1 전진
96135	NVMe SSD 패스쓰루 질문드립니다 (5)	전진	2020-10	2964	0
NVMe SSD 패스쓰루 질문드립니다 (5) 2020-10 2964 1 전진
96134	저가형 ssd 선택 시 신뢰성 관련 질문드려요 (11)	practize	2020-10	3540	0
저가형 ssd 선택 시 신뢰성 관련 질문드려요 (11) 2020-10 3540 1 practize
96133	듀얼 CPU 구성시 다른 CPU 사용 (6)	무쏘뿔처럼	2020-10	2256	0
듀얼 CPU 구성시 다른 CPU 사용 (6) 2020-10 2256 1 무쏘뿔처럼