Re: [KFUG] 이런 것이 가능할지요?(네트워크 구성)

이 경우에는 단순한 NAT 으로만 운용해서는 안 되고, 다음 두가지 방법을 사용해야 합니다.

1. 돈이 많으면 L7 스위치를 사용한다. L7 스위치는 어플리케이션 게이트웨이의 일종으로, 고급 기기는 도메인 네임이나 IP주소를 내부망의 IP주소로 변환해줍니다. 상용제품은 1500-2000만원쯤 하는걸로 압니다.

2. 돈이 없을때의 해결책은 다양한데 일단 예를 들어보자면..

2-1. 단순하게 다른 웹서버들은 다른 포트로 운영하고 포트별로 NAT에서 각 웹서버로 매핑한다

2-2. 포트번호가 80번만 허용이 된 경우에는 2-1 방법을 쓸 수 없으므로 대표 웹서버(즉 DMZ 호스트로 지정된..) 80번 포트는 http 리버스 프록시로 운영하고(예를들어 squid등) 원래의 웹서버는 다른 포트로 이전한 다음 프록시에서 이름따라 특정 웹서버의 포트로 접속하게끔 설정한다.

2-3. 웹서버를 하나로 통일하고 다른 웹서버들은 백엔드 서비스로 전환한다. (재프로그래밍 필요)

웹 서비스를 응용단에서 수정하지 않고 하려면 골치아픕니다만 돈없이 불가능하지많은 않습니다. 돈없이 하려면 머리가 좀 아프다는게 단점이죠. :) 2-2번 같은 경우가 가장 보편적인 해결책일것입니다.

-----
jongwooh

----- Original Message -----

From: 이지홍

To: questions@xxxxxxxxxxxxxx

Sent: Friday, November 19, 2004 10:25 AM

Subject: [KFUG] 이런 것이 가능할지요?(네트워크 구성)

파이어월에 관련된 질문입니다

서버가 예를 들자면, 10대가 있다고 치면,

이 10대를 모두 firewall 뒤로 숨기고 싶다는 것이지요.

그런데, 물론 NATD를 이용하면 가능한 이야기입니다만, 외부에서는 오직 firewall box 하나의 아이피만 보게 되는 것이지 않습니까? 나머지는 모두 내부아이피니까.

그렇다면, 그 내부의 서버들중 3대가 웹서버라고 한다면, firewall box로 들어오는 80번 요청은 그 내부중 어느 하나로만

패킷이 전달된다는 것인데, 이런 경우는 어떻게 해야 되는지요?

firewall이 여러 개의 아이피를 가질 수 있는지 궁금합니다.(물론 같은 defaultrouter라는 가정하에서)

방법이 있겠는지요?

_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions