¿ìÁ¤ ¾÷¹« ÀçÅà ±Ù¹«¸¦ À§ÇÑ VPN ¼³Á¤
PPTP(VPN) Ȩ    ³Ý¹ÌÆà ILS ¼­¹ö    ¶óÀ̺ê¶ó     ¸®´ª½º·¦ Ȩ

º»ÀÎÀº ¿¹Àü¿¡ ¼®À¯°ø»ç ±Ù¹«¶§ ¿øÀ¯ ºñÃà¿ë ¶¥±¼ °ø»ç¿¡ ¸¹ÀÌ Âü¿©Çß´Ù.(ÁÖ·Î ÀÚ±Ý °ü¸®¸¦ ´ã´çÇßÁö¸¸..) ¶Ç Áö±Ý °¡½ºÀüÀ» °³¹ßÇÏ°í ÀÖ´Â µ¿ÇØ¿¡¼­ ´ë·úºØ¿¡ ½ÃÃß°øÀ» ¶ÕÀ» ¶§µµ ¸Ç óÀ½ ½ÃÃß¼±¿¡ ½Â¼±Çؼ­ ÇÚµåÆù¿¡ ¸ðµ©À» ¿¬°áÇؼ­ º»»ç·Î µ¥ÀÌŸ¸¦ ¼Û½ÅÇÏ´Â Åë½Å¸ÁÀ» ¼³Ä¡Çϱ⵵ Çß´Ù. ±×°Ô Àο¬ÀÌ µÇ¾î¼­ÀÎÁö ¿äÁòÀº ÀÎÅͳݿ¡ ÅͳÎ(tunnelling)À» ¶Õ´Â ÀÛ¾÷À» ¸¹ÀÌ ÇÏ°í ÀÖ´Ù.

¾Æ·¡ ÅͳΠ°ø»ç´Â ¹ßÁÖÀÚÀÇ ¿ä±¸µµ ±î´Ù·Ó°í ÁöÇüµµ ÇèÇØ(?) ÃÖ°í ³­°ø»ç ÁßÀÇ Çϳª¿´´Ù. ¿äÁòÀº Áß±¹À¸·Î ÅͳÎÀ» ¶Õ´Â °ø»ç¸¦ ¸¹ÀÌ ¼öÁÖÇÏ°í ÀÖ´Ù.(ÀÌ´ÏÁøÁö ¹ºÁö ÇÏ´Â °ÔÀÓ ¶§¹®¿¡..) ±Ùµ¥ ´ë·úºØ¿¡ ½ÃÃß°ø Çϳª ¶Õ´Âµ¥ 30 ~ 60¾ï µå´Âµ¥ ³­ Áß±¹±îÁö ÅͳΠ¶Õ¾î Áִµ¥ ¿ù ¸¸¿ø(?)µµ ¸ø ¹Þ´Â´Ù...

Ȥ½Ã Áý¿¡¼­ ÀçÅñٹ«¸¦ ÇÏ´Â °æ¿ì ¾Æ·¡ ¼³Á¤ÀÌ µµ¿òÀÌ µÉ°ÍÀÌ´Ù. ´Ü Áý ÀÎÅÍ³Ý ¶óÀÎÀÌ À¯µ¿ IP¶ó¸é GRE¸¦ »ç¿ëÇÒ ¼ö ¾ø´Ù. pptp¸¦ »ç¿ëÇÏ´Â°Ô ÁÁ´Ù.

    ¢À [1] ±¸Ãà ¹è°æ

  • ¶óÀ̺ê¶ó¸¦ ¼³Ä¡ÇÑ Àü³²ÀÇ ¸ð ¿ìü±¹¿¡¼­ ¾î´À Á÷¿øÀÌ º´À¸·Î ÀÎÇØ ÈÞÁ÷À» ÇÏ°Ô µÇ¾ú´Ù. ±×·±µ¥ °©ÀÛ ½º·´°Ô ÈÞÁ÷À» ÇÏ°ÔµÇ¾î ¹Ìó ±× Á÷¿øÀÌ ´ã´çÇÏ´ø ¾÷¹«¸¦ ÀμöÇÒ Á÷¿øÀÌ ¾ø¾ú´Ù. ±×·±µ¥ ±× Á÷¿øÀº ¼ö¼úÀ» ÇÏ°í¼­ Áý¿¡¼­ ¿ä¾çÁß¾úÀ¸¹Ç·Î Á÷¿øÀÌ Áý¿¡¼­ ¿ìÁ¤¾÷¹«¸¦ ó¸®ÇÒ¼ö ÀÖµµ·Ï Á÷¿ø Áý°ú ¿ìü±¹À» VPNÀ¸·Î ¿¬°áÇÏ´Â ÀÛ¾÷À» ÇÏ°Ô µÇ¾ú´Ù.

    *. ¿ìÁ¤¸ÁÀº ÀÎÅͳݰú´Â ¿¬°áµÇ¾î ÀÖÁö ¾ÊÀº Æó¼â¸ÁÀÌ´Ù. Frame Relay ¶óÀÎÀ» ÀÌ¿ëÇؼ­ Àü±¹ÀÇ ¿ìü±¹À» ¿¬°áÇÏ°í ÀÖ´Ù. »ç¿ëÇÏ´Â ÇÁ·ÎÅäÄÝÀº ÀÎÅͳݰú °°Àº TCP/IP ÀÌ°í 10.0.0.0/8 »ç¼³ IP¸¦ »ç¿ëÇÑ´Ù.

    ¢À [2] Àå ºñ

  • ±× ¿ìü±¹¿¡´Â ÀÌ¹Ì ¿ìü±¹ Á÷¿øµéÀÌ ¿ìÁ¤¸Á°ú ÀÎÅͳÝ(ADSL)À» µ¿½Ã¿¡ »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ¶óÀ̺ê¶ó-500 ¸ðµ¨ÀÌ ¼³Ä¡µÇ¾îÀÖÀ¸¹Ç·Î VPN ¼­¹ö´Â ÀÌ Àåºñ¸¦ ±×´ë·Î »ç¿ëÇÏ°í Á÷¿ø Áý¿¡ Ãß°¡·Î ¶óÀ̺ê¶ó-250À» ¼³Ä¡ÇÏ¿´´Ù. (Àü±¹ÀÇ ¸ðµç ¿ìü±¹¿¡´Â ¾ÆÁ÷ ÀÎÅͳÝÀÌ ¿¬°áµÇ¾î ÀÖÁö ¾Ê´Ù. ¿ìÁ¤¸Á º¸¾È ¶§¹®À̶ó°í ÇÑ´Ù. ´ÜÁö ¹Î¿ø½Ç¿¡¸¸ ÀϹÝÀÎµé »ç¿ëÀ» À§ÇØ ÀÎÅͳÝÀÌ ¿¬°áµÇ¾î ÀÖ´Ù.)

    ¢À [3] VPN ÇÁ·ÎÅäÄÝ

  • VPN ÇÁ·ÎÅäÄÝÀº ½Ã½ºÄڻ翡¼­ °³¹ßÇÑ GRE ¸¦ »ç¿ëÇß´Ù. ¼Óµµµµ ºü¸£°í ¾ÈÁ¤¼ºÀÌ ÁÁ±â ¶§¹®ÀÌ´Ù.

    ¢À [4] ÀÎÅÍ³Ý ¶óÀÎ

  • VPN ±¸ÃàÀ» À§ÇØ ¿ìü±¹ÀÇ ¶óÀ̺ê¶ó-500¿¡ ADSL-MyIP ¸¦ ¿¬°áÇß°í Á÷¿øÁýÀº ÄÉÀÌºí ¸ðµ©À» »ç¿ëÇß´Ù. ´Ü Á÷¿ø ÁýÀÇ IP ÁÖ¼Ò´Â ¹Ì¸® °íÁ¤½ÃÄ×´Ù.
[±×¸² 1]

[¼³¸í]

*. ¾Æ·¡¿¡¼­ sun Àº ¿ìü±¹ ¶óÀ̺ê¶ó VPN ÀÎÅÍÆäÀ̽º¸íÀÌ°í moon Àº Á÷¿øÁý ¶óÀ̺ê¶ó VPN ÀÎÅÍÆäÀ̽º¸íÀÌ´Ù.

¿ìü±¹ ¶óÀ̺ê¶ó ³×Æ®¿öÅ© ¼³Á¤

  1. ¨ç(LOCAL) : ¿ìÁ¤¸Á¿¡ Á¢¼ÓµÈ PC(10.0.0.0/8)µéÀÌ ¿¬°áµÈ Çãºê¿¡ ¿¬°áÇÏ¿´´Ù. IP´Â 10.x.32.5
  2. ¨é(Primary) : ¿ìÁ¤¸Á ¶ó¿ìÅÍ¿Í ¿¬°áÇÏ¿´´Ù.IP´Â ¨ç ¹ø°ú °°´Ù.
  3. ¨è¹ø(Secondary) : ¿ìü±¹ ¹Î¿ø½Ç¿¡ ¿¬°áµÈ T-1 ÀÎÅÍ³Ý Àü¿ë¼±¿¡ ¿¬°áÇÏ¿´´Ù. ÀÌ T-1 Àü¿ë¼±Àº ¿ìü±¹À» ¹æ¹®ÇÑ ÀϹÝÀεéÀÌ ÀÎÅͳÝÀ» »ç¿ëÇϵµ·Ï ¹Î¿ø½ÇÀÇ Çǽÿ¡¸¸ ¿¬°áµÅ¾î ÀÖ´Ù.

    ÀÌ ¶óÀÎÀº VPN ¿¬°á°ú´Â ¹«°üÇÏ´Ù. ¹°·Ð ÀÌ ¶óÀÎÀ» VPN ¿¬°á¿¡ »ç¿ëÇصµ µÈ´Ù. ´çÃÊ¿¡´Â ¿ìü±¹ ³»ÀÇ Á÷¿øµéÀÌ ¿ìÁ¤¸Á°ú ÀÎÅͳÝÀ» µ¿½Ã¿¡ »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ÀÌ ¶óÀÎÀ» ¶óÀ̺ê¶ó¿¡ ¿¬°áÇÏ¿´´Ù. ±×·¯³ª ´Ù¸¥ ¹®Á¦·Î ÀÌ ¶óÀÎÀº ¿¬°áÀ» ²÷¾ú´Ù.
    (»óºÎ¿¡¼­ °¨»ç¸¦ ³ª¿À¸é ¹®Á¦°¡ µÈ´Ù³ª¿ä... ±Û½ê ÷´ÜÀ» ´Þ¸®´Â ¿ìü±¹ Á÷¿øµé Çǽÿ¡¼­ ÀÎÅͳÝÀ» ¾µ¼ö ¾ø´Ù´Â°Ô ¸»ÀÌ µÇ´ÂÁö..)

  4. ¨ê(Tertiary) : ADSL-MyIP ¸¦ ¿¬°áÇÏ¿´´Ù. IP=210.W.253.211. ÀÌ ¶óÀÎÀÌ VPN ¿¬°á¿¡ »ç¿ëµÈ´Ù.
  5. default gateway = 10.x.32.31

¾Æ·¡´Â ÅͳΠ¼³Á¤ °úÁ¤ÀÌ´Ù.

  1. policy routing

    1. ip ru add from 210.w.253.211 table 6 prio 160
    2. ip ro add table 6 default via 210.w.253.254 dev eth3
    3. route add -host 61.y.52.251 dev eth3

    ¼³¸í]

    ¿ìü±¹ ¶óÀ̺ê¶óÀÇ µðÆúÆ®°ÔÀÌÆ®¿þÀÌ´Â ¿ìÁ¤¸Á ¶ó¿ìÅÍÀÇ ÁÖ¼ÒÀÎ 10.x.32.31ÀÌ´Ù. ¿ìÁ¤¸ÁÀº »ç¼³ IPÀÎ 10.0.0.0/8 À» »ç¿ëÇÏ°íÀÖ°í ÀÎÅͳݰú´Â ¿¬°áÀÌ µÇ¾î ÀÖÁö ¾Ê´Ù. ¿ìü±¹ Á÷¿øµé PCµµ ¸ðµÎ 10. ´ë IP¸¦ »ç¿ëÇÑ´Ù.

    ±×·¡¼­ moon À¸·ÎºÎÅÍ VPN ¿¬°á Æ®·¡ÇÈ ÀÀ´ä ÆÐŶÀ» ADSL MyIP ¶óÀÎÀ¸·Î º¸³»·Á¸é 1. °ú 2. ¸í·ÉÀ¸·Î policy routing À¸·Î ADSL ¶óÀÎÀÇ °ÔÀÌÆ®¿þÀ̸¦ ÁöÁ¤ÇØ¾ß ÇÑ´Ù.(rp_filter À» 0À¸·Î ÇØ¾ß ÇÑ´Ù.) ¸¸¾à ÀÌ ºÎºÐÀÌ ¾ø´Ù¸é moon À¸·ÎºÎÅÍ µé¾î¿Â VPN ¿¬°á ¿äû¿¡ ´ëÇÑ ÀÀ´äÀÌ 10.x.32.31 ·Î °£´Ù.

    3. Àº ¿ìü±¹ ¶óÀ̺ê¶ó¿¡¼­ Á÷¿øÁý ¶óÀ̺ê¶ó¸¦ ¿¬°áÇÒ ¶§ eth3¿¡ ¿¬°áµÈ ADSL ¶óÀÎÀ¸·Î ¶ó¿ìÆà µÇ°Ô ÇÑ´Ù. ÀÌ ºÎºÐÀº VPN °ú´Â °ü·ÃÀº ¾øÁö¸¸ ÀÌ ºÎºÐÀÌ ¾øÀ¸¸é ¿ìü±¹ ¶óÀ̺ê¶ó¿¡¼­ Á÷¿øÁý ¶óÀ̺ê¶ó·Î telnet 61.y.52.251 ¸í·ÉÀÌ ¾ÈµÈ´Ù.

    È®ÀÎ]

    1. ip ru sh(ÀϺÎ)

      60:     from all fwmark  6 lookup 6
      160:    from 210.w.253.211 lookup 6
    2. ip ro sh table 6

      default via 210.w.253.254 dev eth3

    *. ip ru ÀÇ "60: from ..." Àº VPN °ú´Â ¹«°üÇÏ´Ù. ÀÌ´Â ¿ìü±¹ ³»ÀÇ PC¿¡¼­ ÀÎÅͳÝÀ» »ç¿ëÇϱâ À§ÇØ ÇÊ¿äÇÏ´Ù. Áï "ip ru add fwmark 6 table 6 prio 60" ¸í·ÉÀ» ÇÊ¿ä·Î ÇÑ´Ù. ±×¸®°í¼­ "iptables -t mangle -A PREROUTING -i eth0 -s $IP_PC -d ! 10.0.0.0/8 -j MARK --set-mark 6" ¸í·ÉÀ» ÁÖ¸é $IP_PC(PCÀÇ IP ÁÖ¼Ò) IP¸¦ »ç¿ëÇÏ´Â PC´Â ADSL À» ÅëÇØ ÀÎÅͳÝÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù. ¹°·Ð ¿ìÁ¤¾÷¹«µµ µ¿½Ã¿¡ »ç¿ë °¡´ÉÇÏ´Ù.(¾Æ·¡ ¼³¸í)

  2. ÅͳΠÀÎÅÍÆäÀ̽º ÁÖ¼Ò ¹× ¶ó¿ìÆÃ

    1. ip tunnel add sun mode gre local 210.w.253.211 remote 61.y.52.251 ttl 255
    2. ip link set sun up
    3. ip link set sun mtu 1500
    4. ip addr add 10.x.32.5/32 dev sun
    5. ip ro add 10.x.32.40 dev sun
    6. arp -s 10.x.32.40 -D eth1 pub

    ¼³¸í]

    • 1 ~ 4 ºÎºÐÀº gre ÅͳÎÀ» »ý¼ºÇÑ´Ù. ÅͳΠÀ̸§Àº sunÀÌ´Ù. iproute2 ¸Å´º¾ó¿¡ Àß ³ª¿Í ÀÖ´Ù. ÁÖÀÇÇÒ Á¡Àº ¿ìü±¹Ãø gre ÅͳΠIP ÁÖ¼Ò°¡ 10.x.32.5·Î¼­ eth0 ÁÖ¼Ò¿Í °°´Ù. ÅͳΠ»ó´ë¹æ ÁÖ¼Ò´Â 10.x.32.40 ÀÌ´Ù. P-t-P ¿¬°á¿¡¼­´Â ³» ÁÖ¼Ò´Â ¶ó¿ìÆÿ¡¼­ °í·ÁÇÏÁö ¾Ê´Â´Ù. ±×·¡¼­ eth0(eth1) ÀÇ ÁÖ¼Ò¸¦ »ç¿ëÇß´Ù.

      ÅͳΠÀÔ±¸ ÁÖ¼Ò = 210.w.253.211(ÅͳΠÁÖ¼Ò¿Í´Â ´Ù¸£´Ù.)
      ÅͳΠÃⱸ ÁÖ¼Ò = 61.y.52.251

    • 5. Àº moon À¸·Î °¡´Â ¶ó¿ìÆ® ¸í·ÉÀÌ´Ù. (route add -host 10.x.32.40 dev sun)

    • 6. arp -s ¸í·ÉÀº proxy arp¸¦ »ý¼ºÇÏ´Â ¸í·ÉÀ¸·Î¼­ 10.x.32.40 IP°¡ eth1¿¡ Á÷Á¢ ¿¬°áµÈ °Íó·³ º¸ÀÌ°Ô ÇÑ´Ù.

    È®ÀÎ]

    1. ip add sh(ÀϺÎ)

      sun@NONE:  mtu 1500 qdisc noqueue
          link/gre 210.w.253.211 peer 61.y.52.251
          inet 10.x.32.5/32 scope global sun

    2. arp -an

      ? (10.x.32.40) at * PERM PUP on eth1

    3. netstat -nr

      Destination     Gateway         Genmask         Flags   Iface
      10.xxx.32.40    0.0.0.0         255.255.255.255 UH      sun
      61.xxx.52.251   0.0.0.0         255.255.255.255 UH      eth3
      10.xxx.32.31    0.0.0.0         255.255.255.255 UH      eth1
      210.xxx.253.192 0.0.0.0         255.255.255.192 U       eth3
      10.xxx.32.0     0.0.0.0         255.255.255.0   U       eth0
      127.0.0.0       0.0.0.0         255.0.0.0       U       lo
      0.0.0.0         10.xxx.32.31    0.0.0.0         UG      eth1
      

      (ÀϺΠ»ý·«)

  3. ±â Ÿ(NAT)

    /sbin/iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to 210.w.253.211

    iptables -t nat -vnL

    SNAT all -- * eth3 0.0.0.0/0 0.0.0.0/0 to:210.w.253.211

    *. ¿ìü±¹ ³»ºÎ PC¿¡¼­ ÀÎÅͳÝÀ» »ç¿ëÇϱâ À§ÇØ ÇÊ¿äÇÏ´Ù.

[ÀÛµ¿ °úÁ¤]
Á÷¿øÀÌ Áý PC¿¡¼­(10.x.32.41) ¼­¿ï¿¡ ÀÖ´Â ¿ìÁ¤¸Á ¼­¹ö(10.x.y.z)¸¦ ¿¬°áÇÏ¸é ¿ìÁ¤¸Á ¼­¹ö°¡ º¸³½ µ¥ÀÌŸ´Â ¿ìü±¹ ¿ìÁ¤¸Á ¶ó¿ìÅÍ(10.x.32.31)·Î ¿Â´Ù. ¿ìÁ¤¸Á ¶ó¿ìÅÍ´Â 10.x.32.40 À» ã´Â arp ¿äû ÆÐŶÀ» eth1 ¿¡ ¿¬°áµÈ ¸ðµç È£½ºÆ®¿¡ ºê·Îµåij½ºÆ®ÇÑ´Ù.

[ÁÖÀÇ]
¿ìÁ¤¸Á ¼­¹ö¿¡¼­ ¿À´Â ÀÀ´ä ÆÐŶÀÇ ¸ñÀûÁö ÁÖ¼Ò´Â 10.x.32.41 °¡ ¾Æ´Ï°í 10.x.32.40 ÀÌ´Ù. ÅͳΠŬ¶óÀ̾ðÆ® moonÀÇ ÁÖ¼Ò°¡ 10.x.32.40 ÀÌ°í 10.x.32.41 ¿¡¼­ ³ª¿À´Â µ¥ÀÌŸ´Â ½ÇÁ¦´Â 10.x.32.40 ·Î NAT°¡ °É¸°´Ù.

±×·¯¸é ¶óÀ̺ê¶óÀÇ ¨é(Primary) ·£Ä«µå(eth1)´Â ±× ¿äû¿¡ ÀÀ´äÇÏ°í µ¥ÀÌŸ¸¦ °¡Á®¿Â´Ù.(proxy arp) 10.x.32.40 ·Î °¡´Â µ¥ÀÌŸ°¡ ¶óÀ̺ê¶ó¿¡ µé¾î¿À¸é ±× ´ÙÀ½¿¡´Â ¶ó¿ìÆà Å×ÀÌºí¿¡ µû¶ó VPN ÀÎÅÍÆäÀ̽ºÀÎ sun À¸·Î µ¥ÀÌŸ°¡ º¸³»Áø´Ù.(10.xxx.32.40 0.0.0.0 255.255.255.255 UH sun) Áï arp -s ¸í·ÉÀÌ Áß¿äÇÑ ¿ªÇÒÀ» ÇÑ´Ù. µ¥ÀÌŸ°¡ sunÀ¸·Î º¸³» Áø ÈÄ¿¡ Á÷¿ø ÁýÀÇ ¶óÀ̺ê¶ó·Î °¡´Â °úÁ¤Àº gre ÅͳÎÀÇ ¸òÀÌ´Ù.

¼­¿ïÀÇ ¿ìÁ¤¸Á ¼­¹ö¿¡¼­ º¼¶§ 10.x.32.40 IP ÁÖ¼Ò¸¦ °®´Â Çǽà (½ÇÁ¦ IP´Â 10.x.32.41)´Â ¿ìü±¹ ³»¿¡ ÀÖ´Â °ÍÀ¸·Î º¸ÀδÙ. ½ÇÁ¦ »ç¿ë¿¡¼­µµ ¾Æ¹«·± Â÷ÀÌ°¡ ¾ø´Ù. ´ÜÁö ¿ìü±¹ ³»ÀÇ ÇÇ½Ã¿Í ÆÄÀÏ °øÀ¯ ¹× ÇÁ¸°ÅÍ °øÀ¯¸¸ ÇÒ ¼ö ¾ø´Ù. ±×·¯³ª À̰͵µ VPN ±¸¼ºÀ» º¯°æÇÏ¸é °¡´ÉÇÏ´Ù.

[Âü°í]
10.x.y.z IP¸¦ »ç¿ëÇÏ´Â ¿ìü±¹ PC¿¡¼­ ADSLÀ» ÅëÇØ ÀÎÅͳÝÀ» »ç¿ëÇÏ·Á¸é ¶óÀ̺ê¶ó¿¡ ¾Æ·¡ ¸í·ÉÀÌ Ãß°¡µÇ¾ß ÇÑ´Ù. ¿ìü±¹ÀÇ ÀϺΠÇǽô ¾Æ·¡ ¹æ¹ýÀ¸·Î ¿ìÁ¤¸Á°ú ÀÎÅͳÝÀ» µ¿½Ã¿¡ »ç¿ëÇÏ°í ÀÖ´Ù.(´ë¿ÜºñÀÓ. º¸¾È °¨»ç°¡ ³ª¿À¸é ¹®Á¦°¡ µÈ´Ù³ª¿ä. ±×·¡¼­ °¨»ç°¡ ³ª¿À¸é ¶óÀ̺ê¶ó¸¦ Á¦°ÅÇÏ°í ¶ó¿ìÅ͸¦ Çãºê¿¡ Á÷°áÇÑ´ä´Ï´Ù.)

  • iptables -t mangle -A PREROUTING -i eth0 -s ±¹Àå´Ô_PC_IP -d ! 10.0.0.0/8 -j MARK --set-mark 6
  • iptables -t mangle -vnL
    175K 18M MARK all -- eth0 * 10.xxx.32.55 !10.0.0.0/8 MARK set 0x6

Á¶±Ý ´õ °ñÄ¡ ¾ÆÇ ¹®Á¦

iptables ÀÇ mangle table ¿¡ ¾Æ·¡ ¶óÀÎÀÌ µé¾î ÀÖ´Ù.

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
MARK       all  --  0.0.0.0/0           !10.0.0.0/8         MARK set 0x6

ÀÌ ºÎºÐÀÌ ¾ø´Ù¸é ¸®´ª½º·¦¿¡¼­ ¿ìü±¹ ¶óÀ̺ê¶óÀÇ ADSL IP ÁÖ¼Ò·Î telnet À» ÇÒ ¼ö ¾ø´Ù. ¿Ö? ³¡±îÁö ÀÐÀ¸¸é ´äÀÌ ÀÖ½¿.

 

Áý ¶óÀ̺ê¶ó ¼³Á¤

  1. ¨ç¨è(LOCAL) : 192.168.1.1/24(eth0), ¿Í 10.x.32.8/32(eth0:1) µÎ °³ÀÇ ÁÖ¼Ò¸¦ °®´Â´Ù. ¿Ö µÎ°³°¡ ÇÊ¿äÇÑÁö´Â ¾Æ·¡¿¡ ³ª¿Â´Ù.
  2. (Primary) : ÄÉÀÌºí ¸ðµ©À» ¿¬°áÇß´Ù. IP´Â 61.y.52.251
  3. default gateway = 61.y.52.1

     libra:/etc/rc.boot# ip add sh
    
     3: eth0:  mtu 1500 qdisc pfifo_fast qlen 100
        link/ether 00:10:0b:01:0c:5d brd ff:ff:ff:ff:ff:ff
        inet 192.168.1.1/24 brd 192.168.1.255 scope global eth0
        inet 10.245.32.8/32 brd 10.255.255.255 scope global eth0:1
     4: eth1:  mtu 1500 qdisc pfifo_fast qlen 100
        link/ether 00:90:0b:01:0c:5e brd ff:ff:ff:ff:ff:ff
        inet 222.102.39.222/24 brd 222.102.39.255 scope global eth1
    

ÅͳΠ¼³Á¤ °úÁ¤

  • routing table ¹× policy routing

    1. ip ru add fwmark 4 table 4 prio 40
    2. ip ru add from 61.y.52.251 table 2 prio 120
    3. ip ro add table 2 default via 61.y.52.1 dev eth1
    4. ip ro add 10.x.32.41 dev eth0

    ¼³¸í]
    2. 3. ´Â sun°ú °°´Ù.(¿©±â¼­´Â default gateway°¡ 61.y.52.1 À̹ǷΠÀÌ µÑÀº Çʼö´Â ¾Æ´Ï´Ù. ´ÜÁö Á¤È®¼ºÀ» À§Çؼ­´Ù) 1. Àº ¾Æ·¡¿¡ ¼³¸íÀÌ ³ª¿Â´Ù.

    ±×·±µ¥ ¿Ö 4. °¡ ÇÊ¿äÇÑ°¡? À§¿¡¼­ eth0:1 ¿¡ ¿Ö 10.x.32.8/32 ÁÖ¼Ò¸¦ Çϳª ´õ ºÎ¿©Çߴ°¡?

    ÀÌ µÎ°¡Áö´Â Åͳΰú´Â ¹«°üÇÑ »çÀ¯·Î Ãß°¡µÇ¾ú´Ù. ¿ìÁ¤¾÷¹«´Â Ŭ¶óÀ̾ðÆ®/¼­¹ö ¹æ½ÄÀ¸·Î ¼³°èµÇ¾î¼­ Çǽÿ¡ Ŭ¶óÀ̾ðÆ® ÇÁ·Î±×·¥À» ¼³Ä¡ÇØ¾ß ÇÑ´Ù. ±×·±µ¥ °³¹ß¾÷ü°¡ ÀÌ ÇÁ·Î±×·¥À» ÇԺηΠ¾Æ¹« Çǽÿ¡¼­³ª ¼³Ä¡ÇÏÁö ¸øÇÏ°Ô ÇÁ·Î±×·¥À» »ç¿ëÇÏ´Â ÇǽÃÀÇ IP ÁÖ¼Ò°¡ 10.0.0.0/8 ÀÎ °æ¿ì¸¸ ½ÇÇàµÇ°Ô ¼³°èÇÏ¿´´Ù. (¿ø½ÃÀûÀÎ ¹æ¹ýÀÌÁö¸¸)

    ±×·¡¼­ Á÷¿ø ÁýÀÇ ÅͳΠIP ÁÖ¼Ò¸¦ 10.x.32.40 À¸·Î ºÎ¿©ÇÏ°í ¶óÀ̺ê¶óÀÇ local ÁÖ¼Ò¸¦ 192.168.1.1, Á÷¿ø PC ÁÖ¼Ò¸¦ 192.168.1.2·Î ºÎ¿©Çؼ­ 10.xÀ¸·Î °¡´Â µ¥ÀÌŸ¸¦ 10.x.32.40·Î NAT¸¦ °É¾î ÁÖ¾úÀ¸³ª Ŭ¶óÀ̾ðÆ® ÇÁ·Î±×·¥ÀÌ ÀϺΰ¡ ½ÇÇàÀÌ ¾ÈµÇ¾ú´Ù. ±×·¡¼­ Á÷¿øÀÇ PCÀÇ IP ÁÖ¼Ò¸¦ 10.x.32.41·Î ºÎ¿©Çϱâ À§ÇØ ÀÌ µÎ°¡Áö°¡ ÇÊ¿äÇÏ´Ù.

  • ÅͳΠ»ý¼º

    1. ip tunnel add moon mode gre local 61.y.52.251 remote 210.w.253.211 ttl 255
    2. ip link set moon up
    3. ip link set moon mtu 1500
    4. ip addr add 10.x.32.40/32 dev moon
    5. ip ro add table 4 default via 10.x.32.5 dev moon onlink

    ¼³¸í]
    1. ~ 4. Àº sun °ú °°´Ù. 5. ´Â ¿Ö ÇÊ¿äÇÑ°¡?

    ¶óÀ̺ê¶óÀÇ default gateway°¡ 61.y.52.1(ÄÉÀ̺í¸ðµ© ȸ»çÀÇ ¶ó¿ìÅÍ)À̹ǷΠÁ÷¿ø ÇǽÃ(10.x.32.41)¿¡¼­ ¿ìÁ¤¸Á ¼­¹ö(10.x.y.z : ¼­¿ï¿¡ ÀÖÀ½)¸¦ ¿¬°áÇÏ¸é ±× µ¥ÀÌŸ´Â ÅͳÎ(10.x.32.40)·Î µé¾î°¡Áö ¾Ê°í ÄÉÀÌºí ¸ðµ©ÀÇ ¶ó¿ìÅÍ·Î µé¾î°£´Ù. ±×·¡¼­ ¸ñÀûÁö°¡ 10.0.0.0/8 ÀÎ µ¥ÀÌŸ¸¦ ÅͳηΠÀ¯µµÇϱâ À§ÇØ ÇÊ¿äÇÏ´Ù.

    ¹æ¹ýÀº °£´ÜÇÏ´Ù. Á÷¿ø Çǽÿ¡¼­ ¶óÀ̺ê¶óÀÇ ·ÎÄ®Æ÷Æ®(eth0)·Î µé¾î¿À´Â µ¥ÀÌŸ Áß ¸ñÀûÁö ÁÖ¼Ò°¡ 10.x.y.z ÀÎ µ¥ÀÌŸ¿¡ ´ëÇؼ­¸¸ »¡°£»öÀ¸·Î Ç¥½Ã¸¦ÇÑ´Ù. (fwmark 4) ±×·¯¸é ¶ó¿ìÆÃÀ» ´ã´çÇÏ´Â ±³Åë ¼ø°æÀÌ »¡°£»öÀÌ Ä¥ÇØÁø µ¥ÀÌŸ¸¸ ÅͳΠÂÊÀ¸·Î º¸³½´Ù.

    Áï Á÷¿ø PC(10.x.32.41)¿¡¼­ ¿ìÁ¤¸Á ¼­¹ö¸¦ ¿¬°áÇϱâ À§Çؼ­´Â ¾Æ·¡ µÑÀÌ ´õ ÇÊ¿äÇÏ´Ù.(¸Ó¸®°¡ ºùºù µ¹ÁÒ?)

    1. iptables -t mangle -A PREROUTING -i eth0 -d 10.0.0.0/8 -j MARK --set-mark 4
    2. iptables -t nat -A POSTROUTING -o moon -j SNAT --to 10.x.32.40

    1. Àº ÀϹÝÀεéÀÌ °ÅÀÇ ¾²Áö ¾Ê´Â ¸í·ÉÀÌÁö¸¸ À§ÀÇ "ip rule add fwmark 4 ..." ¹× " ip ro add table 4 default via ..." °ú °ü·ÃµÇ¾î ¸ñÀûÁö°¡ 10.0.0.0/8 ÀÎ µ¥ÀÌŸ¸¦ ÅͳÎ(moon)·Î º¸³½´Ù.

    2. ´Â ¼³¸íÀÌ ÇÊ¿ä ¾ø°ÚÁÒ. ¿ìü±¹¿¡¼­´Â 10.x.32.40 ÁÖ¼Ò¸¸ ÅͳηΠº¸³»¹Ç·Î Á÷¿ø Áý¿¡¼­ ¿ìÁ¤¸ÁÀ¸·Î °¡´Â ¸ðµç µ¥ÀÌŸ´Â ÀÌ ÁÖ¼Ò¸¸ »ç¿ëÇØ¾ß ÇÑ´Ù. Åͳο¡µµ NAT¸¦ °Å´Â°Ç ÷ ºÃ´Ù±¸¿ä? À©µµ¿¡¼­µµ Åͳο¡ NAT°¡ °É·Á¿ä...(ÀÎÅÍ³Ý °øÀ¯¿ä.)

    ±×·³ Á÷¿ø PC(10.x.32.41)¿¡¼­´Â ÀÎÅͳÝÀº »ç¿ëÇÒ ¼ö ¾ø³ª¿ä? ¸®´ª½º·¦ ȨÆäÀÌÁö(211.217.x.y)¸¦ ¿¬°áÇÏ´Â °æ¿ìµµ µ¥ÀÌŸ°¡ ÅͳÎ(moon)·Î °¡³ª¿ä?

    Á÷¿ø Çǽÿ¡¼­ ¸ñÀûÁö°¡ ÀÎÅÍ³Ý ÁÖ¼ÒÀÎ µ¥ÀÌŸ°¡ ÅͳηΠµé¾î°£´Ù¸é ÀÎÅÍ³Ý ¿¬°áÀÌ µÇÁö ¾Ê°ÚÁÒ.(¿ìÁ¤¸Á¿¡´Â ÀÎÅÍ³Ý °ÔÀÌÆ®¿þÀÌ°¡ ¾øÁÒ. ¶óÀ̺ê¶ó »©°í´Â)

    ¸ñÀûÁö°¡ 10.0.0.0/8 ÀÌ ¾Æ´Ñ µ¥ÀÌŸ´Â default gateway ÀÎ 61.y.52.251 ·Î º¸³»ÁöÁÒ. (¿ìÁ¤¸Á ÀçÅñٹ«¿ëÀÎ 10.x.32.41 Çǽÿ¡¼­ ÀÎÅͳÝÀ» »ç¿ëÇصµ ¸¶Âù°¡Áö´Ù.) ±×·¡¼­ ¾Æ·¡ NAT ¸¸ Ãß°¡ÇÏ¸é ´ç¿¬È÷ ÀÎÅͳݵµ ¿¬°áÀÌ µÅ°ÚÁÒ. ÀÎÅͳÝÀ» »ç¿ëÇÏ´Â °æ¿ì´Â µ¥ÀÌŸ°¡ ¿ìü±¹¿¡ ¼³Ä¡µÈ ¶óÀ̺ê¶ó-500À» °æÀ¯ÇÏÁö ¾Ê°í ÄÉÀ̺í¸ðµ©À¸·Î ¹Ù·Î ³ª°£´Ù. Áï VPNÀ» ¿¬°áÇÏÁö ¾ÊÀº°Í°ú ¶È °°´Ù.

    iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 61.y.52.251
    (-s 192.168.1.0/24 À» ³ÖÀ¸¸é ¾ÈµÈ´Ù. ÀÌ ¿É¼ÇÀ» ³ÖÀ¸¸é 10.x.32.41 Çǽô ¿ìÁ¤¸Á¸¸ »ç¿ëÇÒ ¼ö ÀÖ°í ÀÎÅͳÝÀº »ç¿ëÇÏÁö ¸øÇÑ´Ù.)

  • ip ru sh

    40:     from all fwmark        4 lookup 4
    120:    from 61.y.52.251 lookup 2

  • ip ro sh table 4

    default via 10.x.32.5 dev moon onlink

  • ip add sh

    moon@NONE:  mtu 1500 qdisc noqueue
        link/gre 61.y.52.251 peer 210.w.253.211
        inet 10.x.32.40/32 scope global moon

  • netstat -nr

    10.x.32.41      0.0.0.0         255.255.255.255 UH       eth0
    61.y.52.1       0.0.0.0         255.255.255.255 UH       eth1
    192.168.1.0     0.0.0.0         255.255.255.0   U        eth0
    127.0.0.0       0.0.0.0         255.0.0.0       U        lo
    0.0.0.0         61.y.52.1       0.0.0.0         UG       eth1
    

  • iptables -t nat -vnL

    Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    SNAT    all  --  *   moon  0.0.0.0/0  0.0.0.0/0 to:10.x.32.40
    SNAT    all  --  *   eth1  0.0.0.0/0  0.0.0.0/0 to:61.y.52.251

  • iptables -t mangle -vnL

    Chain PREROUTING (policy ACCEPT 10M packets, 3383M bytes)
    MARK   all  --  eth0   *    0.0.0.0/0     10.0.0.0/8 MARK set 0x4

    [ÁÖ]
    iptables ¿¡¼­ mangle À» »ç¿ëÇÏ·Á¸é Ä¿³ÎÀ» ÄÄÆÄÀÏÇØ¾ß ÇÑ´Ù.

[Âü°í]
Á÷¿ø ÁýÀÇ ¶óÀ̺ê¶ó NAT Å×ÀÌºí¿¡´Â ¾Æ·¡ µÎ °³°¡ ´õ Ãß°¡µÇ¾ú´Ù. ÀÌ ºÎºÐÀº Åͳΰú´Â ¹«°üÇÏ´Ù.

  1. iptables -t nat -A PREROUTING -i eth1 -d 61.y.52.251 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80
  2. iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.2 -j SNAT --to 192.168.1.1

ÀÎÅͳݿ¡¼­ http://61.y.52.251 ¸í·ÉÀ» ÁÖ¸é Á÷¿ø ÁýÀÇ 192.168.1.2 À¥¼­¹ö°¡ ÀÀ´äÀ» ÇÏ°ÚÁÒ? ±×·±µ¥ 2¹øÀº ¿Ö ÇÊ¿äÇÏÁÒ? 2 ¹øÀº ¾µ¸ð°¡ ¾ø´Ù°í¿ä?

¿ìÁ¤¸Á ¿¬°á PCÀÇ IP´Â 10.x.32.41 Àε¥ ÀÌ PC¿¡¼­ 192.168.1.2 À¥¼­¹ö¸¦ ¿¬°áÇÒ ¼ö ÀÖÀ» ±î¿ä? ´ç¿¬ ¾ÈµÇÁÒ. ±×·±µ¥ 2¹øÀÌ À̸¦ °¡´ÉÇÏ°Ô ÇÕ´Ï´Ù. 10.x Çǽÿ¡¼­ 192.168.1.2 ¸¦ ¿¬°áÇÒ ¶§ ¶óÀ̺ê¶óÀÇ ·ÎÄ® ÁÖ¼ÒÀÎ 192.168.1.1 ·Î NAT¸¦ °É¾î ÁÝ´Ï´Ù. (ù¹ø ¼³¸í¿¡¼­ ÀÌ ºÎºÐ ¼³¸íÀÌ Æ²·ÈÀ¾´Ï´Ù.)

¿©±â±îÁö ÀüºÎ Àаí ÀÌÇØÇÑ µ¶ÀÚ¿¡°Ô ¼­ºñ½º·Î Çϳª ´õ

¶óÀ̺ê¶ó¸¦ ¶ó¿ìÅÍ·Î »ç¿ëÇÒ ¶§ µðÆúÆ® °ÔÀÌÆ®¿þÀÌ°¡ ¾Æ´Ñ ÀÎÅÍÆäÀ̽º·Î µ¥ÀÌŸ¸¦ ³» º¸³»´Â ¹æ¹ýÀÔ´Ï´Ù.

  1. µ¥ÀÌŸ°¡ ¶óÀ̺ê¶ó¸¦ °ÅÃÄ °¥¶§ : fwmark ¿Í ip ru add fwmark ... ¸¦ »ç¿ë
  2. ¶óÀ̺ê¶ó°¡ Ŭ¶óÀ̾ðÆ® Áï ¶óÀ̺ê¶ó¿¡¼­ ¿ÜºÎÀÇ ¼­¹ö¸¦ ¿¬°áÇÒ ¶§ (ftp sunsite.org) : ip ro add
  3. ¶óÀ̺ê¶ó°¡ ¼­¹ö Áï ¿ÜºÎ¿¡¼­ ¶óÀ̺ê¶óÀÇ ¼­¹ö¸¦ Á¢±Ù ÇÒ ¶§ (¶óÀ̺ê¶ó¿¡ À¥¼­¹ö°¡ ¼³Ä¡µÇ¾î ÀÖ´Ù¸é): ip ru add from ¶Ç´Â iptables -t mangle -A OUTPUT ¿¡¼­ fwmark »ç¿ë

    ÁÖÀÇ : ¶óÀ̺ê¶ó¿¡ ÀÎÅÍ³Ý ¶óÀÎÀÌ µÑ ÀÌ»óÀÏ ¶§¸¸ ÇØ´çµÈ´Ù. ÇÑ °³¶ó¸é Â÷ÀÌ°¡ ¾ø´Ù.

 ÀÛ¼ºÀÚ : ¹èö¼ö <churl_nospam@linuxlab.co.kr>

Ȥ½Ã ÀÌ ±Û¿¡ À߸øÀÌ Àְųª Àǽɽº·¯¿î ºÎºÐÀÌ ÀÖÀ¸¸é
À§ ÁÖ¼Ò·Î ¸ÞÀÏ º¸³»½Ã±æ(½ºÆÔ ¸ÞÀÏ Àý´ë »çÀý)

¸®´ª½º·¦(LinuxLab)

http://www.linuxlab.co.kr
Tel: 02)456-4551