아주 기본적인 부분일 수 있는데 제 맘대로 잘안되서 도움을 요청합니다 ㅜㅜ
부탁드립니다!
문제 상황은 아래와 같습니다.
* 장비: fortigate 60E
* 내부(internal): 192.168.100.0/24
* 외부(wan1): 특정 사이트 ( ex. naver.com)에만 접속 가능하도록 설정하고 싶습니다.
* 내부에서 외부로 나가는 정책 0개 (인터넷 안되는 상태)
위 같은 상황에서 다음과 같은 정책을 설정했습니다.
------------------ ↓ 정책 내용 ---------------------
incoming interface: internal
outgoing interface: WAN1
Src: ALL
Dst: ALL
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-------------------------------------------------------
이렇게하면 너무나도 당연히 인터넷이 정말 엄청나게 잘됩니다.
하지만 FQDN으로 만든 주소를 dst에 넣게되면 인터넷이 먹통이 되어버립니다.
-------------------FQDN 설정 내용----------------
이름: NAVER
형태: FQDN
FQDN: naver.com
Interface: any
-----------------------------------------------------
------------------ ↓변경된 정책 내용 ------------------
incoming interface: internal
outgoing interface: WAN1
Src: ALL
Dst: 'NAVER'
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-----------------------------------------------------------
제가 생각한거는 'dst에 ALL 대신 NAVER를 넣으면 NAVER만 접속이 가능하지 않을까?'였습니다. 하지만 제 생각대로 되지않고 정책이 하나 있지만 없는것과 똑같은 상황이 발생됩니다.
웃긴건 이거랑 비슷한 상황이 하나 있었는데, 그 때는 VPN을 이용했었고, NAVER에만 접속 되었습니다.
접속장비: 스마트폰 LG V30, Asus Notebook
인터넷환경: LG U+ LTE, LG U+ Router(휴대용 와이파이)
사용 프로그램: FortiClient VPN 어플
------------------ ↓VPN 정책 내용 ------------------
incoming interface: ssl-VPN Tunnel interface
outgoing interface: WAN1
Src: AL(출발지주소), VPN_USER(VPN 계정)
Dst: 'NAVER'
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-----------------------------------------------------------
요 위에 정책 하나만 적용했을 땐 naver에만 접속됬습니다.
vpn일때와 아닐때 차이라곤 vpn 계정이 들어가냐 안들어가냐 그 정도인데 도대체 왜 안되는지 모르겠습니다.
글이 읽기 난해 하실 수 있는데 정보가 더 필요하시다면 언제든지 추가로 적겠습니다 ㅜ
부탁드립니다!
문제 상황은 아래와 같습니다.
* 장비: fortigate 60E
* 내부(internal): 192.168.100.0/24
* 외부(wan1): 특정 사이트 ( ex. naver.com)에만 접속 가능하도록 설정하고 싶습니다.
* 내부에서 외부로 나가는 정책 0개 (인터넷 안되는 상태)
위 같은 상황에서 다음과 같은 정책을 설정했습니다.
------------------ ↓ 정책 내용 ---------------------
incoming interface: internal
outgoing interface: WAN1
Src: ALL
Dst: ALL
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-------------------------------------------------------
이렇게하면 너무나도 당연히 인터넷이 정말 엄청나게 잘됩니다.
하지만 FQDN으로 만든 주소를 dst에 넣게되면 인터넷이 먹통이 되어버립니다.
-------------------FQDN 설정 내용----------------
이름: NAVER
형태: FQDN
FQDN: naver.com
Interface: any
-----------------------------------------------------
------------------ ↓변경된 정책 내용 ------------------
incoming interface: internal
outgoing interface: WAN1
Src: ALL
Dst: 'NAVER'
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-----------------------------------------------------------
제가 생각한거는 'dst에 ALL 대신 NAVER를 넣으면 NAVER만 접속이 가능하지 않을까?'였습니다. 하지만 제 생각대로 되지않고 정책이 하나 있지만 없는것과 똑같은 상황이 발생됩니다.
웃긴건 이거랑 비슷한 상황이 하나 있었는데, 그 때는 VPN을 이용했었고, NAVER에만 접속 되었습니다.
접속장비: 스마트폰 LG V30, Asus Notebook
인터넷환경: LG U+ LTE, LG U+ Router(휴대용 와이파이)
사용 프로그램: FortiClient VPN 어플
------------------ ↓VPN 정책 내용 ------------------
incoming interface: ssl-VPN Tunnel interface
outgoing interface: WAN1
Src: AL(출발지주소), VPN_USER(VPN 계정)
Dst: 'NAVER'
Service: ALL
Schedule: ALL
ACCEPT
NAT: Enable
-----------------------------------------------------------
요 위에 정책 하나만 적용했을 땐 naver에만 접속됬습니다.
vpn일때와 아닐때 차이라곤 vpn 계정이 들어가냐 안들어가냐 그 정도인데 도대체 왜 안되는지 모르겠습니다.
글이 읽기 난해 하실 수 있는데 정보가 더 필요하시다면 언제든지 추가로 적겠습니다 ㅜ
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
2개의 답변이 있습니다.
외부 dns 서버로 사용하시면 해당 dns 서버로도 통신이 되어야 특정 사이트만 접속 되게 해줄 수 있죠.
여담으로 dns 변조 공격이나 hosts 파일을 공격하는 것도 (ip 를 변조하여 사용자를 속이는 행위)
이러한 인터넷 사이트 접속 방식 때문에 그런거죠. 컴퓨터가 이해할 수 있는 언어는 문자 텍스트가 아니라
0 과 1 로 되어 있는 이진수이니깐요
우리가 학교때 이진수나 십진수 이런 거 배운 것도 컴퓨터를 이해하기 위한 노력이 아닐까 싶네요
괜히 잡설이 길어졌네요 ㅋㅋㅋㅋㅋㅋ 암튼, IT 에서 밥 먹고 살려면 컴퓨터 라는 놈에 대해서
제대로 이해하고 공부해야죠.
도메인 주소들을 ip로 변경 시키는 작업이 선행되어야 인터넷 사이트가 웹 브라우저에 열리게 될 것인데...
naver.com만 접속 가능하게 열려있고, 도메인 주소를 번역해 주는 DNS 서버에 접속을 하지 못하기 때문에 웹 브라우저가 사이트를 제대로 못 열게 되는게 아닐까 하는 생각이 드네요.
PC에서 사용하는 DNS 서버에 대한 ip도 outgoing accept해 주고 난 후에 다시 한번 확인해 보시죠~
DNS 서버로 ping이 되는지도 확인해 보시고요.
ping naver.com 명령으로 naver.com이 ip 주소로 변경되는지도 확인해 보시고요.
파이어inthewall | 5년 이하 전
파이어inthewall | 5년 이하 전