'nat'에 해당되는 글 10건
- 2009.11.27 ipvsadm을 이용한 LVS 시스템 구축
- 2009.10.09 netsh를 사용한 네트워크 및 방화벽 구성
- 2009.06.08 윈도우 NAT와 DHCP를 이용한 인터넷 공유
| 트윗하기 | |||
1대의 서버로 증가하는 사용자들을 처리하기 힘들때 2대이상의 서버를 구축하여 로드 하는 운영 시스템이다.
일반적으로 DNS의 라운드 로빈 로드 밸런싱 하는 방법이 있으나, LVS 시스템은 라운드 로빈 방식 아니라 총 4가지 방법으로 로드 밸런싱을 할수 있어 사용자의 상황에 대처할수 있다.
1. 라운드 로빈(round-robin)
로드 밸런서로 들어오는 요청들을 차례대로 순차적으로 각각의 서버로 할당하는
DNS 로도 쉽게 구현이 가능한 방식이다.
2. 가중 라운드 로빈(weighted round-rovin)
동작 자체는 라운드 로빈 방식이지만, 로드 밸런싱을 할 서버들이 각각 사양일 경우 서로 다른 가충치를 설정하여 요청들을 할당하는 방식이다.
3. 최소 연결(least connection)
서버들중에서 가장 적은 수의 요청을 처리하고 있는 서버를 선택하여 요청을 할당하는 방식이다. 이 방식의 장점은 서버들의 현재 부하 상태를 동적으로 요청을 처리할수 있다.
4. 가중 연결 (weighted least connection)
연결 방식을 따르지만, 가중 라운드 로빈 방식과 마찮가지로 각 서버에 다른 가중치를 설정하여 요청들을 할당할수 있다.
시스템에서 NAT, DR(Direct routing) IP터널링 으로 구성이 가능하지만 여기서는 DR방식으로
DR(Direct rounting) 기본 구성도는 아래 링크를 참고 바랍니다.
http://wiki.kldp.org/Translations/html/Virtual_Server-KLDP/VS-DRouting.gif
이제 시스템을 구축해보자
모든 설명은 레드햇 기반인 CentOS 버전을 기준으로 설명한다.
웹서버 2대에 대해서 1대의 LVS 가 밸런싱을 하는 방식에 대해서 설명한다.
Virtual IP 192.168.10.10
Real IP(Web1) = 192.168.10.20
Real IP(Web2) =
LVS 서버에 yum명령을 사용하여 ipvsadm 을 설치한후
#yum -y install ipvsadm
# ipvsadm
IP Virtual Server version 1.2.1 (size=4096)
LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
#
이렇게 나오면 제대로 설치가 된것이다.
이제 LVS 서버에 사용할 Virtual IP를 설정해보자.
# ifconfig eth0:1 192.168.10.10 netmask 255.255.255.0 up
ifconfig 를 사용한 네트워크 설정은 서버가 재부팅이 되면 사라지기때문에,
파일을 생성해주자.
또한 해당 시스템을 통해 다른 패킷이 포워딩 될수 있도록 수정하자.
#vi
net.ipv4.ip_forward=1
#sysctl
이제 설치한 ipvsadm 에 새로운 서비스를
#ipvsadm -A -t 192.168.10.10:80 -s rr
192.168.10.10 IP의 tcp 80번포트를 라운드 로빈(rr) 방식으로 새로운 서비스로
자세한 명령어 옵션은 ipvsadm --help 로 확인해보자
참고로 언급된 4가지 스케쥴링 방법을 모두 적용가능하다
예) ipvsadm -t 192.168.10.10:80 -s wlc (가중 최소 연결)
추가가 끝났으면, 로드 밸런싱을 할 대상 서버들의 Real IP를 추가해준다.
#ipvsadm -a -t 192.168.10.10:80 -r 192.168.10.20:80 -g
#ipvsadm -a -t 192.168.10.10:80 -r 192.168.10.30:80 -g
#ipvsadm -L
IP Virtual Server version (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 192.168.10.10:http rr
-> Route 1 0 0
-> 192.168.10.30:http Route 1 0
LVS서버의 설정은 끝났다. 하지만 이 정보는 재부팅이 되면 날아간다.
재부팅후에 정보가 남아 있도록 약간의 작업을 진행해주자.
#/etc/rc.d/init.d/ipvsadm save
ipvsadm on
참고) ipvsadm save 명령을 내리면 /etc/sysconfig/ipvsadm 설정 값이 저장된다.
이제 LVS 서버의 설정은 끝이 났다.
이제 서비스 되어질 웹서버 2대에 설정한다.
설정방법은 2대다 동일하기 때문에 1대만 설명하겠다.
먼저 웹서버에서도 가상 디바이스를 설정하여 Virtual IP를 추가해야한다.
* 위에 설명되어 있다. 참고바란다.
여기서 의문점이 생긴다. 가상 디바이스를 추가하여 Virtual IP를 할당해주어야 하는데.
여기서 ARP 발생할수 있다. 그렇다면 ARP는 무엇인가.
ARP란?
IP주소를 해당 MAC주소로 바꿔주는 프로토콜을 말한다. 네트워크장비는 기본적으로 통신을 하기때문에 IP주소를 MAC주소로 변환을 해줘야 통신이 가능해진다.
클라인트가 가상 IP를 요청했을 때 동일 네트워크에 Virtual 2개 이상 갖고 있기 때문에 경우에 따라서 Real Server에서 응답을 경우가 있다고 한다. 이렇게 되면 로드밸런싱이 되지 않기 때문이다.
arptables_jf를 이용해서 응답하지 않도록 해줘야 한다.
#yum -y arptables_jf
#arptables -i -A IN -d 192.168.10.10 -j DROP
#arptables -i eth0 -A -d 192.168.10.10 -j mangle --mangle-ip-s 192.168.10.20
#/etc/rc.d/init.d/arptables_jf save
#chkconfig arptables_if
arptables_jf save 명령 사용시에도 /etc/sysconfig/arptables 파일에 값이 기록되어 저장된다.
을 이용하여 LVS 시스템을 Direct Routing 구성으로 구축해보았다.
ps) 단순히 rr(라운드 로빈) 방식만을 취한다면 차라리 DNS 로빈 설정이 훨신 수월하고 편리하다는 느낌이다. 하지만 위에 언급된 4가지 운영 상황에 맞게 설정할수 있어 충분히 장점이 될것 같고, L4 등도 고가라 도입하기가 쉽지 않을떄 한번 고려해볼만한 LVS 시스템이라 생각된다.
출처 : 리눅스포탈
arptables,
arptables_jf,
Direct Routing,
dr,
hi.pe.kr,
ipvsadm,
IP터널링,
Linux Virtual Server,
lvs,
nat,
round-robin,
가상서버,
라운드로빈,
리눅스,
물고기,
운영체제
| 트윗하기 | |||
참고: http://technet.microsoft.com/ko-kr/library/cc778925.aspx
- Netsh AAAA 명령
- DHCP에 대한 netsh 명령
- Netsh 진단(diag) 명령
- 인터페이스 IP에 대한 netsh 명령
- 인터페이스 IPv6의 Netsh 명령
- 인터페이스 Portproxy에 대한 netsh 명령
- 인터넷 프로토콜 보안에 대한 netsh 명령
- 네트워크 브리지용 Netsh 명령
- RAS(원격 액세스)용 Netsh 명령
- 라우팅에 대한 netsh 명령
- RPC의 Netsh 명령
- WINS에 대한 netsh 명령
1. netsh를 사용해보자 (CLI=Dos Commanand Mode, GUI=윈도우 화면)
GUI 로 친숙한 방화벽 정책 설정을 하면 되는 것을 왜 궂이 CLI로 하려고 하는지 묻는다면 설정에 대한 재미도 있을 수 있고 GUI로 보지만 가끔 시스템 상에 문제가 되었을 때 GUI가 열리지 않는다거나 숨겨진 방화벽 설정을 볼 때에는 이 netsh 를 이용하여 설정하는 방법도 매우 빠르며 유용 할 수 있다.
netsh 는 비단 방화벽만 설정 할 수 있는 것이 아닌 RAS, NAT, OSPF도 설정을 할 수 있다. 요즘 들어 MS 운영체제의 취약성을 이용하여 웜 감염 후 netsh를 이용하여 네트워크를 조작하는 수법도 존재한다. 그 이유는 GUI를 통하지 않고도 명령어를 통한 배치 파일로 DNS 조작도 시도 할 수 있으며, 악의적인 DNS 서버에 Domain Name 을 Query 할 때 악의적인 사용자가 미리 지정한 IP로 접속을 유도도 할 수 도 있기 때문이다. 이러한 기법은 파밍(Pharming) 기법으로도 응용할 수 있는 부분이다.
Window Support Tool 로 사용하는 ipseccmd 를 (GUI로는 secpol.msc) 사용하여 in, outbound 로 포트에 대한 차단을 할 수 있다면, netsh 는 윈도우 XP 방화벽은 IP및 포트에 대한 inbound 그리고 어플리케이션 프로그램에 대한 in, outbound에 대한 차단 및 허용이 가능하다. 엄밀히 따져보면 Stateful Inspection 방화벽이라고 말하지만 Outbound에 대한 IP 및 포트 정책이 없는 방화벽이 과연 데이터 스트림까지 지원하는 Stateful inspection 방화벽이라고 하기엔 조금 미흡한 점이 있지 않나 싶다.
netsh 를 사용하는 것은 위의 그림처럼 클릭 할 때의 설정과 그 결과값이 똑같다. CLI 를 싫어하시는 분들이 많을지 모르나 시간, 속도, GUI로 볼 수 없는 숨겨진 기능을 볼 수 있다는 장점이 있다. 즉 한눈에 일목요연하게 보고 싶거나 정보 수집용으로도 손색이 없을 것이다.
각 구문만 쉽게 눈에 들어오고 익힌다면 빠른 설정을 할 수 있을 것이다. 네트워크 방화벽처럼 윈도우 방화벽 설정시에 기본적인 정책은 Deny 이다. (방화벽을 enable 시켰을 때) 윈도우 시작->실행->cmd->netsh 를 TYPE 해 보자.
여기서는 CD (Change Directory)가 안 되므로, 각 디렉토리 이동은 (..) Double Dot 또는 (.) Single Dot 를 이용하여 이동하자. 또한 모든 명령어는 ? 로 확인한다. 이렇게 설정하지 않아도 직접적으로 명령어를 이어서 사용함으로써 한 번에 설정이 가능하다.
아래의 실제 방화벽 설정의 예제들을 보자.
2. netsh로 방화벽 설정 보기 및 방화벽 설정하기
다음의 명령어를 보자.
| C:\>netsh firewall show ? 다음 명령을 사용할 수 있습니다. 이 컨텍스트에 있는 명령: show allowedprogram - 방화벽 허용 프로그램 구성을 표시합니다. show config - 방화벽 구성 정보를 표시합니다. show currentprofile - 현재 방화벽 프로필을 표시합니다. show icmpsetting - 방화벽 ICMP 구성을 표시합니다. show logging - 방화벽 로깅 구성을 표시합니다. show multicastbroadcastresponse - 방화벽 멀티캐스트/브로드캐스트 응답 구성을 표시합니다. show notifications - 방화벽 알림 구성을 표시합니다. show opmode - 방화벽 작동 구성을 표시합니다. show portopening - 방화벽 포트 구성을 표시합니다. show service - 방화벽 서비스 구성을 표시합니다. show state - 현재 방화벽 상태를 표시합니다. |
눈여겨 볼 만한 명령어는 위 굵은 글씨체를 참고하라.
그럼 방화벽 정책을 설정하기 위한 Steb-by-Step을 해보자.
■ 현재 열려져 있거나 열려져 있지 않은 포트를 상세히 보려면 아래의 명령어를 사용.
netsh firewall show portopening verbose = enable
netsh firewall show config verbose = enable
netsh firewall show state verbose = enable
netsh firewall show portopening verbose = enable | findstr VNC
특정한 부분이 열렸는지만 볼 때.
물론 verbose = disable 도 있지만, 궂이 상세하게 보지 않겠다는 옵션을 줄 필요는 없다.
이 중에서 한가지 기본 규칙만을 지킨다면 응용은 그렇게 어렵지만은 않다.
실제, netstat 로 확인한 결과 Listening 된 포트가 있다 하더라도, 실제 열려진 포트를 보려면 위의 세 가지 명령어를 통하여 확연히 구분 지을 수 있다. 중복되는 내용들이 많지만 정확한 설정 값 및 포트 오픈 및 현재의 방화벽 상태를 확인하려면, 위의 세 명령어를 사용해도 무방할 것 같다.
아래의 규칙을 기억하자. (순서는 바뀌어도 상관은 없지만 대부분 이런 수순)
Scope 이 생소하겠지만 여기서 Scope은 Subnet , Custom , All 이 있다. 보안상 이 부분 역시 좋은 부분인 것 같다. Netbios 같은 경우 인터넷 외부에서의 연결은 보안상 위험하다. 그래서 이러한 Netbios 포트는 기본적으로 자기 네트워크에 속한 대역(서브넷)만을 액세스 할 수 있게 설정하는 것이 좋다.
때론 Access List 처럼 작용하는 것으로 보일 수 있으나, subnet을 선택할 경우 자신의 속한 네트워크 브로드캐스트 영역을 보므로 자신의 전체 내부 네트워크에서는 이러한 프로그램 및 포트는 접근 가능할 수 있다. 그러므로 Custom 에서의 선택을 하여 일일이 네트워크 및 IP Address 및 네트워크 대역을 지정하는 것이 보안상 좋은 방법일 것이다.
- Subnet : 자신이 속한 네트워크 대역
- Custom : 일일이 접근 IP 또는 접근 네트워크 대역을 지정할 수 있다.
- All : 모든 IP 및 네트워크 주소
본격적으로 방화벽 정책을 설정해 보자. set 은 현설정에 대한 편집이거나 추가이며, add 는 추가만 할 수 있다. 아래 예들은 모두 set 으로 설정했다.
■ 포트 오픈 하기 ≠ 서비스 오픈 ( set portopening 또는 add portopening )
C:\>netsh firewall set portopening TCP 5900 VNC_ServerPort
확인됨.
아래 그림을 보면 생성이 되어져 있음을 볼 수 있다.
또한 findstr 구문을 통하여 현재 설정 상태도 확인을 할 수 있다.
- netsh firewall show portopening | findstr VNC
구체적으로 이러한 포트 오픈은 내가 속한 네트워크 대역 서브넷(subnet)안에서만 허용하고 싶다면 조금 다르게 옵션을 설정을 해 주어야 한다.
C:\>netsh firewall set portopening protocol = TCP port = 5800 name = VNC_HTTP scope = subnet mode = enable
확인됨
C:\>netsh firewall set portopening protocol = TCP port = 23456 name = Ahnlabcoconut_FTP scope = CUSTOM addresses = 192.168.1.3,LocalSubnet
확인됨
이것은 로컬 서브넷에서만 접근 가능하고, 외부 192.168.1.3 에서 이 서비스를 사용할 수 있다라는 뜻이다. GUI 에서는 아래와 같다.
참고
URL :http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2apb.mspx
■ 서비스 설정하기 ( set service 또는 add service)
서비스 종류는 아래와 같은 종류로 국한하기 때문에 서비스를 생성(포트 오픈)해야 할 필요성은 느끼지 못한다. (터미널 서비스 : TCP 3389 )
위에서 설명했듯이 이 netsh 의 포트 오픈과 서비스 오픈과는 약간의 차이가 있다.아래는 서비스 Open에 관련된 서비스 내용 들이다. 실제 이 서비스들도 설정해야 하고 시스템 등록 정보의 [원격] 탭에서 설정을 해야만 비로서 아래와 같은 서비스들을 정상적으로 사용 할 수가 있다.
| FILEANDPRINT | 파일 및 프린터 공유 |
| REMOTEADMIN | 원격 관리 |
| REMOTEDESKTOP | 원격 지원 및 원격 데스크톱 |
| UPNP | UPnP 프레임워크 |
| ALL | 모든 종류 |
이 윈도우 XP 방화벽에서의 서비스는 말 그대로 윈도우가 제공해 주는 서비스를 말하고 실제 포트 오픈은 이전에 Bulit-in 된 원격데스크톱 및 원격지원 서비스에 V 체크만 하면 된다.
그림에서 보듯이 원격 데스크탑 및 원격 지원은 Windows 방화벽에서 삭제(D) 버튼을 누를 수 없다. 이는 아래 그림처럼 [내컴퓨터] ▶ [오른쪽 마우스 클릭] ▶ [속성] ▶ [원격] 부분.
이 부분에 속해 있기 때문이다. 왜 이렇게 설정을 했는지는 잘 모르겠지만, 어쨌든 이 원격지원 부분과 원격 데스크톱 부분의 체크박스에 체크를 하지 않으면 아래 그림처럼
자동적으로 체크 박스에 v 체크가 없어지는 것을 볼 수 있다.
하지만 이는 역으로는 성립이 되지 않는다. 즉 이 윈도우 방화벽에서의 원격 데스크톱이나 원격지원을 v 체크를 한다 하더라도, 시스템 등록정보에서의 [원격] 탭에서는 v 체크가 되지 않으면 외부에서 접속을 하지 못하게 된다. 결론적으로 이러한 서비스를 사용하기 위해서는 당연히 RDP 서비스는 띄워져 있어야 하며, 우선적용이 되는 시스템 등록정보에 대한 체크박스에 V 체크가 되어져 있어야 하는 것이다. 이 시스템 등록정보에 V 체크가 되지 않으면 TCP 3389 포트에 대하여 Listening 이 보이지를 않는다.
그런 이유에서 만약 외부에서 RDP 를 사용할 수 없거나, 원격지원을 사용할 수 없을 경우에는 이러한 서비스들이 윈도우 방화벽에서는 열려 있음에도 불구하고 서비스가 안 되면 시스템 등록 정보에서 확인을 하면 될 것이다.
1. Remote Desktop 서비스를 사용하려면
netsh firewall set serv REMOTEDESKTOP enable 또는
netsh firewall set serv type = REMOTEDESKTOP mode = enable scope = all
2. 원격 접속 관리를 사용하기 위해서는
netsh firewall set REMOTEADMIN enable 또는
netsh firewall set serv type = REMOTEADMIN mode = enable scope = all
■ Application Program 오픈 하기 ( set allowedprogram 또는 add allowdprogram )
set allowedprogram program = C:\Temp\AhnSV.exe name = AntiVirus mode =
ENABLE scope = CUSTOM addresses = 192.168.1.1,LocalSubnet
1. netsh로 네트워크 설정하기
이러한 네트워크 설정은 여러 인터넷 검색 엔진 사이트에서 찾아 보며 참고하면 될 것 같다.네트워크 설정은 설명이 필요한 것 보단 이러한 환경이 필요한 곳에서 사용하면 더 할 나위 없이 유용하다. 같이 사용하는 IDC에서의 공유형 노트북(?)에서의 자신만의 고유 정적 IP가 있는 곳, 또는 DHCP로 사용해야만 하는 곳, 네트워크의 일부 GUI로 변경 없이 다음과 같은 명령어 행만으로 네트워크 설정을 쉽게 바꿀 수 있다.
■ 시스템 정보 및 네트워크 정보를 GUI로 결과를 보고 싶다!
netsh diag gui
■ IP 수동 변경 (Static)
netsh -c int ip set address name="AhnlabCoCoNut" source=static addr=192.168.1.2 mask=255.255.255.0 gateway=192.168.1.1 gwmetric=0
■ IP 수동 변경 (로컬)
netsh -c int ip set address localhost static 192.168.1.2 mask 255.255.255.0 1
■ IP 자동 변경 ( DHCP )
netsh -c int ip set address name="AhnlabCoCoNut" source=dhcp
■ DNS 수동 변경(Static)
netsh -c int ip set dns name="AhnlabCoCoNut" source=static addr=168.126.63.2 register=PRIMARY
add dns name="AhnlabCoCoNut" addr=168.126.63.2 index=2
■ DNS 자동 변경 ( DHCP )
netsh -c int ip set dns name="AhnlabCoCoNut" source=dhcp
■ 위와 같이 설정된 현재 네트워크 설정 저장
netsh -c interface dump > AhnlabCoCoNut.txt
■ 위 설정 그대로 사용
netsh exec AhnlabCoCoNut.txt
이러한 DOS Command 모드로써의 중요한 점은 GUI로 된 네트워크 설정의 마우스를 사용하지 못할 때 유용하다고 할 수 있다
[TIP 1]
1. 내 컴퓨터에서 과연 어떠한 트래픽이 들어오고 나가고 Drop이 되는가?
이벤트 뷰어(eventvwr.msc)에서도 보안 설정을 하면 볼 수 있지만 더욱 상세하게 보여주는 것은 이 방화벽 로그일 것이다.
방화벽의 로깅 기능을 사용한다.물론 GUI도 있지만 여기선 netsh 만을 위주로 말하겠다.
■ 현재 로깅 설정 현황 보기
netsh firewall show logging
■ 로깅 설정하기 ( Drop 패킷 및 Connection 패킷 모두)
(손실된 패킷 ,성공한 연결 이 두가지를 로깅한다.)
어떠한 패킷이 손실되는지만 본다면 droppedpackets = enable 옵션만 주면 될 것이다.
netsh firewall set logging droppedpackets = enable connections = enable filelocation = 2nd.txt 4096
■ 현재 로깅 되는 로그 보기
윈도우에서 로깅 되는 로그는 아래와 같다. 엑셀로 편집하여 나온 결과이다.
인바운드인지 아웃바운드 패킷인지의 구분은 없으며 단지 자신의 IP가 외부로 나가면 아웃바운드 자신의 IP가 Dst-IP로 로깅되어져 있으면 인바운드로 구분 할 수 밖에 없다.
(실제 로깅 정보를 볼 때는 구분이 좀 어렵다.)
- 위에서 본 결과처럼 Action 부분에서 Open, Drop, Close 로 현재의 방화벽에서 패킷이 어떻게 취해지는가에 대한 판단을 할 수 도 있을 것이다. 특히 TCP 의 Flag 를 볼 경우 Syn 을 보냈음에도 ACK가 Drop이 되지 않는지 혹은 ACK 자체를 볼 수 없는지에 대하여 판단 할 때, 내 자체 윈도우 방화벽에서 막혔는지 혹은 그 앞단의 방화벽 및 네트워크 장비에서 막혔는지도 판단을 할 수 있을 것이다.
2. 윈도우 XP에서의 트래픽 흐름을 전혀 볼 수 없고 알 수 없을 때 트러블 슈팅 할 때 가장 먼저 윈도우 자체 내장 방화벽을 Disable 한 상태로 확인을 한다.
netsh firewall set opmode enable [방화벽을 설정할 때]
netsh firewall set opmode disable [방화벽을 설정하지 않을 때]
|
그룹 |
명령 |
설명 |
|
Add |
netsh firewall add allowedprogram | Windows 방화벽에 허용된 프로그램 구성 추가 |
| netsh firewall add portopening | Windows 방화벽에 포트 구성 추가 | |
|
delete |
netsh firewall delete allowedprogram | Windows 방화벽에서 허용된 프로그램 구성 삭제 |
| netsh firewall delete portopening | Windows 방화벽에서 포트 구성 삭제 | |
|
reset |
netsh firewall reset | Windows 방화벽 구성을 기본값으로 다시 설정 |
|
Set |
netsh firewall set allowedprogram | Windows 방화벽의 허용된 프로그램 구성 편집 |
| netsh firewall set icmpsettings | Windows 방화벽의 ICMP 구성 편집 | |
| netsh firewall set logging | Windows 방화벽의 로깅 구성 편집 | |
| netsh firewall set notifications | Windows 방화벽의 알림 구성 편집 | |
| netsh firewall set opmode | Windows 방화벽의 작동 구성 편집 | |
| netsh firewall set portopening | Windows 방화벽의 포트 구성 편집 | |
| netsh firewall set service | Windows 방화벽의 서비스 구성 편집 | |
|
show |
netsh firewall show allowedprogram | Windows 방화벽에서 허용된 프로그램 구성 표시 |
| netsh firewall show config | Windows 방화벽 구성 표시 | |
| netsh firewall show currentprofile | Windows 방화벽의 현재 프로필 표시 | |
| netsh firewall show icmpsettings | Windows 방화벽의 ICMP 구성 표시 | |
| netsh firewall show logging | Windows 방화벽의 로깅 구성 표시 | |
| netsh firewall show notifications | Windows 방화벽의 알림 구성 표시 | |
| netsh firewall show opmode | Windows 방화벽의 작동 구성 표시 | |
| netsh firewall show portopening | Windows 방화벽의 포트 구성 표시 | |
| netsh firewall show service | Windows 방화벽의 서비스 구성 표시 | |
| netsh firewall show state | Windows 방화벽의 현재 상태 표시 |
[TIP 2]
■ TCP/UDP/ICMP Connection 및 통계 체크
우선 서비스에 Remote Access Service 가 시작되어 있어야 한다.
net start remoteaccess로 서비스를 시작 하자.
그런 후 아래와 같은 명령어로 현재의 연결 상태를 알아보자.
- netsh interface ip show tcpstat : TCP 통계를 표시 ( netstat -s -v -p tcp )
- netsh interface ip show udpstat : UDP 통계를 표시 ( netstat -s -v -p udp )
- netsh interface ip show tcpconn : TCP 연결을 표시 ( netstat -an -p tcp )
- netsh interface ip show udpconn : UDP 연결을 표시 ( netstat -an -p udp )
- netsh interface ip show config : 현재 네트워크 설정 상태 표시
( ipconfig /all 과 같은 결과)
- netsh interface ip show address : ipconfig 결과
- netsh interface ip show interface : 상세한 인터페이스 정보
- netsh interface ip show dns
- netsh interface ip show icmp :ICMP 통계 자료 ( netstat -s -p icmp )
- netsh interface dump : 인터페이스에 대한 현재 방화벽 설정 전체를 보여준다.
한글윈도우 XP Pro (SP2)에서의 netstat 와 netsh 의 차이점이 무엇이냐 하면, 결과를 보면 알겠지만 netstat 는 영문으로 결과를 보여주고 , netsh 는 친절하게도 한글로 보여준다는 것이다.
출처 : 안랩코코넛 시큐레터 2006년 5월호
저자 : ㈜안랩코코넛 SM사업부 시큐리티엔지니어, 송진호주임
CLI,
firewall,
GUI,
hi.pe.kr,
Inbound,
ipseccmd,
nat,
netsh,
netstat,
OSPF,
Outbound,
RAS,
secpol.msc,
Stateful inspection 방화벽,
Window Support Tool,
네트워크설정,
물고기,
방화벽,
운영체제,
윈도우
| 트윗하기 | |||
일단 환경은..
랜카드2개..
랜카드 a은 인터넷 라인과 연결(케이블,ADSL,전용선 등..)
랜카드 b는 허브와 연결.. 이 허브에.. 다른 컴들 연결..
a의 아이피 설정은.. 자동받기이면. 그대로 두시구요.. 고정이면 설정하시구요.
b는 아이피 192.168.0.1 , subnet 255.255.255.0 이거 두가지만 설정해주시면 됩니다.
이하 a는 인터넷이 되는 랜카드.. b는 내부네트워크 랜카드입니다.
하드웨어가 설정이 되었다면. 이제 dhcp와 nat설정 방법입니다.
DHCP설정하기
2003 기본설치하시면. 관리도구에 DHCP는 없습니다.
프로그램 추가제거에서.. Windows구성요소 추가제거누르시고,
Networking Service 항목에 보면.. DHCP가 있습니다.. 체크하시고 설치하세요.
1. 관리도구->DHCP를 엽니다.
2. 컴퓨터 이름에서 오른쪽 클릭->새범위
3. 새범위 마법사가 뜹니다. 다음누릅니다.
4. 이름에 대충 아무거나 적어줍니다. 중요한건 아닙니다. 다음.
5. 시작 아이피,끝 아이피가 나옵니다.
아까. b랜카드에.. 192.168.0.1로 해줬기 때문에.. 192.168.x.1로 x는 0부터 254번까지 아무거 나. 하셔도 됩니다.
b랜카드에 설정한 아이피가.. 192.168.0.1이라면.
시작 아이피는.. 192.168.0.2 2번부터 아이피 할당한다는 얘기입니다.
끝 아이피는.. 사무실컴에 맞게.. 적당히.. 192.168.0.128 설마 126대까지는 아니겠죠..
허브도 장난이 아닐테구요..
서브넷 마스크는 원래.. 위에 시작과 끝 아이피 갯수 계산해서 해야되는데..
그냥 서브넷 마스크는 255.255.255.0 으로 설정합니다.
시작 아이피 192.168.0.2
끝 아이피 192.168.0.128
서브넷 마스크 255.255.255.0
6. 다음누릅니다.
제외 주소 추가.. 아까 설정한 2~128중에.. 자동할당하지 않을 아이피를 지정해주는
페이지 입니다. 빼고싶은 영역 지정.. 필요없으면. 그냥 다음..
7. 임대시간 입니다.
클라이언트가, 얼마마다 아이피를 갱신할까 하는겁니다.
0,0,0으로 하면 무제한입니다.
설명) 클라이언트는 갱신할때, 현재 사용중인 또는 마지막으로 사용했던 아이피를
dhcp에 요청을 합니다. 그 아이피가 사용중이지 않으면, 다시 할당을 하거나 계속 사용하구요.
사용중이라면, 사용중이지 않은 새로운 아이피를 부여받습니다.
사무실에 컴이 이동할일이 별로 없다면, 그냥 무제한으로 하세요..
나중에 할당 내역에 보면, 어떤컴이 어떤 아이피를 받아갔는지 보입니다..
8. 예, 지금 구성합니다. 다음
9. 클라이언트가 사용할 라우터의 주소(b) 랜카드의 주소를 적어줍니다.
192.168.0.1
10. dns서버의 아이피를 적어줍니다.
한통같은 경우는 168.126.63.1 하고 168.126.63.2 입니다.
인터넷 되는 컴에서.. ipconfig /all 하셔서 나온 dns아이피를 적어주시면 됩니다.
이건꼭 적어주셔야 됩니다. dns아이피 설정을 안하시면, 클라이언트에서 인터넷 접속이 안됩니다.
11. wins서버에 대해서 모르신다면, 그냥 다음.. 인터넷 공유랑 별 상관없는겁니다. 다음
12. 예,지금 활성화 합니다.
dhcp설정이 완료되었습니다.
클라이언트에서. ip설정은 모두 자동받기로 되어있으면, ip를 자동할당받습니다.
클라이언트에서 ipconfig /renew하시거나.. 재부팅 하시면 할당됩니다.
NAT설정방법
1.관리도구에서.. 라우팅 & 원격접속(Routing & Remote Acess)를 엽니다.
2.컴퓨터이름에서. 오른쪽 클릭.. 제일 위에.. 라우팅및 원격 액세스 구성 및 사용클릭..
3.다음 누르고. 두번째.. 네트워크주소변환(NAT)를 선택.. 다음.
4. 인터넷 어뎁터를 선택하는 화면입니다. 인터넷이 되는 랜카드를(a)를 선택하세요.
5. 밑에 기본 방화벽 체크가 되어있습니다.
인터넷 공유하는 서버를 외부에서 접속할 일이 없다면.. 여기에서 외부란.. 사무실안이 아닌
집이나. 다른 사무실입니다..
방화벽 체크가 되어있으면. 외부에서.. 이쪽(a)로 핑이 안나갑니다..
내부(a)에서 외부(네이버등.)으로는 잘 나갑니다.
서버에 ftp같은걸 운영할 계획이라면, 방화벽 체크를 하지 마세요..
6. 다음->마침..
이상 NAT설정끝.. NAT는 의외로 쉽습니다..
이렇게 위에 하드웨어 설정과, dhcp,NAT설정하시면, 인터넷 공유끝입니다...
윈도우 로그온 하지 않으셔도.. NAT나,DHCP는 작동됩니다. 서버컴 로그온 안하셔도 됩니다.
이상 두서없이 써내려간, 강좌이었습니다.
VMware Host-only 활용한 인터넷방법
nat을_이용한_host_only_인터넷방법.hwp출처 : http://manian.paran.com/
dhcp,
hi.pe.kr,
nat,
Networking Service,
Routing & Remote Acess,
네트워크,
네트워크주소변환,
라우팅 및 원격 엑세스,
물고기,
운영체제,
윈도우,
인터넷공유
Prev
