[UTM] SOPHOS 9.0 Destination NAT 설정

네트워크 구성

IP 구성

Window_B (외부 사용자): 2.2.2.1/24

WinSVR_A (DNS_Server): 192.168.2.1/24

WinSVR_B (Web_Server): 192.168.2.2/24

WinSVR_C (FTP_Server): 192.168.2.3/24

 

-   외부 사용자가 DMZ에 있는 DNS_Server에 접근 가능하도록 설정하려고 한다.

 

UTM Secondary External Interface 추가

 

-   Destination NAT를 처리하기 위해서 Secondary Interface를 추가해 주기 위해서 Interfaces & Routing → Interfaces  → Additional Address  → +New additional address... 를 클릭한다.

 

 

-   1.1.100.3/29 대역을 Seconary인터페이스로 설정한 후 Save 버튼을 클릭한다.

 

 

-   왼쪽 동그라미를 클릭한 이후에 새로고침을 클릭한다.

 

 

-   Window_B에서 1.1.100.3(Secondary Interface)으로 정상적으로 Ping 통신이 가능한 것을 확인할 수 있다.

 

 

UTM Destination NAT (DNS) 설정

 

-   Network Protection → NAT  → New NAT rule.. 을 클릭한다.

 

 

-   Going to 항목에 External(Secondary) Address를 넣는다.

-   어느 IP든 1.1.100.3으로 가는 DNS 패킷은 DNAT 처리해주겠다는 의미이다.

 

 

-   방화벽 정책을 따로 설정해 주지 않기 위해서 Automatic Firewall rule을 체크해준다.

-   실제 방화벽 정책에는 추가되지 않는다. (내부적으로 인식돼서 처리된다.)

 

 

-   문제가 생길 시 확인하기 위해서 Advanced -> Log inital packets를 체크해준다

-   Using service와 And the service to를 any로 설정할 수도 있지만 DNS 패킷만 확인할 것이기 때문에 DNS로 변경한 후 Save 버튼을 클릭한다.

 

 

-   왼쪽 동그라미를 클릭한 후 새로고침을 클릭한다.

 

 

Window_B에서 테스트

 

-   테스트를 하기 이전에 1.1.100.3을 Destination NAT 처리했기 때문에 DNS주소에 추가한다.

 

 

-   nslookup을 통해 내부 Web서버를 조회할 경우 1.1.100.3을 통해서 내부 Web서버 주소를 알아올 수 있다.

 

 

UTM Destination NAT (Web) 설정

-   NAT 정책에 HTTP 정책을 추가한다.

 

 

-   NAT 정책에 HTTPS 정책을 추가한다.

 

 

-   HTTP와 HTTPS정책이 잘 적용되었는지 확인한다.

 

-  DNS_Server에서 www를 외부 공인 IP(1.1.100.3)로 등록한다.

 

 

-   Window_B에서 정상적으로 Web Page(www.test.com)에 접속이 가능한 것을 확인할 수 있다.

 

 

-   Window_A에서 외부 Web Page에 접속할 수 있도록 DNAT 정책을 추가한다.

 

 

-   Window_A에서 정상적으로 외부 Web Page에 접근할 수 있다.