Red Hat Training
A Red Hat training course is available for RHEL 8
9.8. firewalld를 사용하여 NAT 구성
firewalld 를 사용하면 다음 NAT(네트워크 주소 변환) 유형을 구성할 수 있습니다.
- 마스커레이딩
- SNAT(소스 NAT)
- 대상 NAT(DNAT)
- 리디렉션
9.8.1. NAT 유형
다음은 다양한 NAT(네트워크 주소 변환) 유형입니다.
- 마스커레이딩 및 소스 NAT (SNAT)
이러한 NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어, 인터넷 서비스 공급자(ISP)는
10.0.0.0/8과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 연결할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.마스커레이딩과 SNAT는 서로 매우 비슷합니다. 차이점은 다음과 같습니다.
- 마스커레이딩은 나가는 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 나가는 인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩을 사용합니다.
- SNAT는 패킷의 소스 IP 주소를 지정된 IP로 설정하고 나가는 인터페이스의 IP를 동적으로 조회하지 않습니다. 따라서 SNAT는 마스커레이딩보다 빠릅니다. 나가는 인터페이스에서 고정 IP 주소를 사용하는 경우 SNAT를 사용합니다.
- 대상 NAT(DNAT)
- 이 NAT 유형을 사용하여 들어오는 패킷의 대상 주소와 포트를 다시 작성합니다. 예를 들어 웹 서버가 개인 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에 DNAT 규칙을 설정하여 수신 트래픽을 이 서버로 리디렉션할 수 있습니다.
- 리디렉션
- 이 유형은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 DNAT의 특별한 사례입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 들어오는 트래픽을 이 특정 포트로 리디렉션할 수 있습니다.
9.8.2. IP 주소 마스커레이딩 구성
시스템에서 IP 마스커레이딩을 활성화할 수 있습니다. IP 마스커레이딩은 인터넷에 액세스할 때 게이트웨이 뒤에 있는 개별 머신을 숨깁니다.
절차
IP 마스커레이드가 활성화되어 있는지 확인하려면 (예:
외부영역의 경우) 다음 명령을root로 입력합니다.# firewall-cmd --zone=external --query-masquerade이 명령은 활성화된 경우 종료 상태
0으로yes를 출력합니다. 그렇지 않으면 종료 상태1로no를 출력합니다.zone이 생략되면 기본 영역이 사용됩니다.IP 마스커레이딩을 사용하려면
root로 다음 명령을 입력합니다.# firewall-cmd --zone=external --add-masquerade-
이 설정을 영구적으로 설정하려면 명령에
--permanent옵션을 전달합니다. IP 마스커레이딩을 비활성화하려면
root로 다음 명령을 입력합니다.# firewall-cmd --zone=external --remove-masquerade이 설정을 영구적으로 만들려면
--permanent옵션을 명령에 전달합니다.