[Win2003] 윈도우 Server에서 NAT 사용하기 [라우팅 및 원격 액세스]

- [CentOS] Linux Firewall로 NAT 사용하기[Firewall / Wireshark] 에 이어서 이번엔 Window Server에서 NAT 기능을 사용하려고 한다.

- 이전에는 FTP / HTTP / DNS를 DNAT 하여 서비스를 이용했고, 이번에는 HTTPS / DNS / SSH / RDP 를 이용하기 위한 DNAT 설정을 하려고 한다.

 

[윈도우 Server에서 NAT 사용하기]

---

[구성도 및 초기 설정]

- DNS 의 초기 설정은 아래를 참고하면 된다.

 

[Win2003] DNS 서버 구성하기 [GNS3 연동]

[Win2003] DNS 서버 구성하기 [GNS3 연동]

 

- 나머지 설정은 글 상단의 링크를 확인하면 된다.

---

 [설정 내용]

 

 

1) Window Server NAT 기본 설정

- Window Server는 Window Server 2003 을 기준으로 진행된다.

- 상위 버전도 거의 비슷하니 참고하여 설정하면된다.

- NAT 설정을 위해서 [관리 도구] - [라우팅 및 원격 액세스] 로 진입한다.

- 아래 사진과 같이 다양한 서비스를 제공한다.

- 그 중, 네트워크 주소 변환(NAT)를 이용할 예정이다.

• 두 개의 개인 네트워크 사이의 보안 연결.
• 가상 사설망(VPN) 게이트웨이.
• 전화 접속 원격 액세스 서버.
• 네트워크 주소 변환(NAT).
• LAN 라우팅.
• 기본 방화벽.

 

- 이후의 설정은 간단하다. Server의 이름에서 오른쪽 마우스로 클릭하면, [라우팅 및 원격 액세스 구성 및 사용]이 나오고, 진행을 위해 클릭하면 설치 마법사가 나온다. 사진의 순서대로 하나씩 선택하고 넘어가면 된다.

- 위에서 설명한 것과 같이 네트워크 주소 변환(NAT) 를 이용할 것이기 때문에 선택하고 다음으로 넘어간다.

 

- NAT 서비스를 이용할 인터페이스를 선택하는 진행 순서에 도달했다. 외부와 내부의 중간에서 NAT 서비스를 진행해줄 Interface를 선택해야하기 때문에 공인망이라고 지정한 Interface를 선택한다. Interface의 이름은 알아보기 쉽도록 변경한 것이다. 그리고 테스트 진행을 위해 보안 설정은 빼고 진행한다. 체크를 해제하고 다음으로 넘어간다.

 

 

- 다음으로 넘어간다.

 

- [마침]을 눌러서 마무리한다. 

 

- 여기까지 Window Server에서의 NAT 설정의 기본적인 초안을 진행했다.

- NAT 기능을 켜는 것과 동시에 Routing 기능까지 켜졌기 때문에 서비스 대역 별 간의 통신이 가능할 것이다.

- 다음으로 넘어가서 확인해본다.

 

 

2) 대역 별 서비스 기본 설정

- IP 및 기본적인 설정을 마친 상태에서 대역 별로 Ping 테스트를 진행했고, 정상적으로 동작했다.

- 또한, 외부로의 통신도 가능해졌기 때문에 Linux Web Server 에서 Apache 및 SSL 모듈을 설치할 수 있다.

- 아래 링크를 참고하여 Web Server 구축을 마무리한다.

 

[CentOS] SSL/TLS 인증서를 적용한 Web Site 구축하기 기초 [OpenSSL / CSR / Self-Signed Certificate]

[CentOS] SSL/TLS 인증서를 적용한 Web Site 구축하기 기초 [OpenSSL / CSR / Self-Signed Certificate]

 

 

- Window DNS Server 에서 별도로 진행해야할 것은 2가지다.

- 하나는 DNS Server에서 동작하는 Web Service를 끄는 것이다. 아래 사진처럼 [인터넷 정보 서비스(IIS) 관리] 로 이동하여 서비스를 중지한다.

 

- 나머지 하나는 원격 데스크톱 연결 기능을 켜는 것이다. 아래 사진과 같이 [시스템 구성] - [원격] - [원격 데스크톱]으로 이통하여 체크 후 확인한다.

- cmd 창에서 netstat -na를 통해 Port number 3389로 Listening 상태를 확인했다. 

 [Win2003] 윈도우 원격 데스크톱 연결 Port 변경

[Win2003] 윈도우 원격 데스크톱 연결 Port 변경

 

 

 

 

- SSH 의 접속 Port를 변경하는 작업이 필요하다. 기본 값 22번이 아닌 22222으로 변경하여 보안을 강화하고, 22222번으로 SSH를 접속할 수 있도록 DNAT 작업을 진행할 것이다.

[CentOS] SSH를 통한 root 접속 제한 [sshd_config 수정 / Session 타임아웃 설정] 

[CentOS] SSH를 통한 root 접속 제한 [sshd_config 수정 / Session 타임아웃 설정]

 

3. Window Server에서 Port 설정하기

- 이제부터 서비스 별 Port 번호를 추가한다.

- NAT 기능이 켜진 [공인망] Interface의 속성으로 진입한 후, [서비스 및 포트] 로 이동하면 이용하려는 서비스가 출력된다.

- 지금부터는 서비스 별로 순서대로 진행한다.

 

3.1) SSH Port 등록하기

- SSH는 별도로 추가를 해야한다. 이름과 Port 번호를 입력한다.

- 개인 주소는 접속하려는 IP를 입력한다. Web Server와 동일한 IP를 입력한다.

- 외부IP:22222 -> 10.10.10.10:22222으로 변환되어서 접속이 가능할 것이다. 

 

- 터미널프로그램으로 접속한 결과, 정상적으로 접속되었다. 접속한 세션을 확인한 결과, 위에서 변경한 Port 22222으로 정상적으로 접속되었다.

 

- Wireshark에서도 확인 가능하다. 

- TCP Port 번호 22222으로 접속한 TCP 패킷을 확인할 수 있다.

 

3.2) RDC Port 등록하기

- 원격 데스크톱 연결(Remote Desktop Connection)는 추가하지 않아도 프리셋이 있기 때문에, 개인 주소만 입력하면 된다.

- 개인 주소는 접속하려는 IP를 입력한다. DNS Server와 동일한 IP를 입력한다.

- 외부IP:3389 -> 10.10.20.10:3389으로 변환되어서 접속이 가능할 것이다. 

 

- Window 10에서 원격 데스크톱 연결을 실행하여, IP를 입력한다.

- 10.10.20.10:3389로 정상 접속되었다.

 

- Wireshark에서도 확인 가능하다. 

- TCP Port 번호 3389으로 접속한 TCP 패킷을 확인할 수 있다.

 

3.3) HTTPS Port 등록하기

- 보안 웹 서버는 추가하지 않아도 프리셋이 있기 때문에, 개인 주소만 입력하면 된다.

- 개인 주소는 접속하려는 IP를 입력한다. Web Server의 IP를 입력한다.

- 외부IP:443 -> 10.10.10.10:443으로 변환되어서 접속이 가능할 것이다. 

- Window 10에서 원격 데스크톱 연결을 실행하여, IP를 입력한다.

- 10.10.10.10:443로 정상 접속되었다.

 

 

- Wireshark에서도 확인 가능하다. 

 - Port 번호 443으로 송/수신이 정상적으로 되었다.

 

- SSL/TLS Handshake 또한 정상적으로 동작하였다.

 

 

3.3) DNS Port 등록하기

- IP를 입력하여, Web Page로 접속하는 사람은 없기 때문에, DNS 서비스도 진행한다.

- SSH는 별도로 추가를 해야한다. 이름과 TCP/UDP 모두 Port 번호를 입력한다.

- 개인 주소는 접속하려는 IP를 입력한다. Web Server의 IP를 입력한다.

- 외부IP:53 -> 10.10.20.10:53으로 변환되어서 요청이 가능할 것이다.

- 등록해둔 도메인 이름을 입력한 결과 정상적으로 접속되었다.

 

- Wireshark에서도 확인 가능하다. 

- Port 번호 53으로 송/수신이 정상적으로 되었다.

- DNS Queries를 정상적으로 보냈고, DNS Server가 정상 응답했다.

- 그 응답의 결과로 요청한 도메인 이름에 대한 IP 주소를 보내주었다.

---