CentOS 5 - 홈 게이트웨이 방화벽 및 DHCP 서버를 통한 연결 공유

CentOS 5 - 홈 게이트웨이 방화벽 및 DHCP 서버를 통한 연결 공유

버전 1.0
저자: Cameron Camp
마지막 수정: 2008년 1월 16일

홈 네트워크를 설정하려고 한다면, DSL/Cable 모뎀에 연결된 외부 컴퓨터를 설정하고, 모든 컴퓨터를 그 방화벽 박스 뒤에 두어 안전하게 보호하고 싶을 것입니다. 이 튜토리얼에서는 게이트웨이 컴퓨터에서 단일 외부 연결(Iptables 방화벽 사용)과 동일한 박스에서 두 번째 내부 연결을 사용하여 집/사무실 내부의 컴퓨터를 연결하고, 연결할 때 자동으로 IP를 부여하는 방법을 보여줍니다(DHCP 서버 사용). Iptables는 매우 복잡할 수 있지만, 우리는 기본 방화벽만 구성할 것이며, 나중에 더 많은 보안을 추가할 수 있습니다. 리눅스에는 이를 수행하는 여러 방법이 있지만, 이 방법은 충분히 간단하고 기본을 가르쳐 줄 것입니다. 저는 CentOS 5 박스에서 이 작업을 수행했지만, 약간의 수정으로 Debian 변형에서도 작동할 것입니다. 이 튜토리얼에서는 root로 로그인하고 있으며, 일반적으로 그렇게 하지 않는 것이 좋지만, 튜토리얼을 간단하게 만들기 위해 그렇게 했습니다. 더 안전하게 수행하고 싶다면 각 명령 앞에 “sudo”를 추가하면 작동합니다.

사무실 내부의 컴퓨터는 서로 통신할 수 있으므로, 프린터, 컴퓨터를 연결하고 스위치를 통해 네트워크 연결을 공유할 수 있습니다. 또한 나중에 게이트웨이 서버 박스에서 Samba를 사용하여 모든 컴퓨터를 위한 네트워크 백업 드라이브와 같은 것을 상대적으로 간단하게 설정할 수 있습니다. 이 설정에는 많은 확장성이 있지만, 지금은 간단하게 유지하겠습니다.

게이트웨이 서버에서 가장 먼저 해야 할 일은 CentOS와 함께 제공되는 기본 방화벽인 Iptables를 구성하고 활성화하는 것입니다. 우리는 eth1 인터페이스에서 인터넷으로의 아웃바운드 트래픽을 허용하도록 설정할 것입니다. Iptables 항목을 추가하고 저장한 후 Iptables를 재시작해야 합니다.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
service iptables save  
service iptables restart

이제 커널에 포워딩을 허용하도록 지시해야 하므로 규칙이 작동합니다:

echo 1 > /proc/sys/net/ipv4/ip_forward

이것은 재부팅할 때까지만 작동하므로, 영구적으로 만들기 위해 원하는 편집기를 사용하여 /etc/sysconfig/network에 다음 줄을 추가합니다:

FORWARD_IPV4=YES

이제 LAN 내부의 컴퓨터에 IP를 부여할 DHCP 서버를 설정해야 합니다. 다음과 같이 DHCP 서버를 설치하여 수행합니다:

yum install dhcp

기본적으로 샘플 DHCP 파일이 생성되며, 이를 편집한 후 실제 파일로 교체합니다:

cd /usr/share/doc/dhcp-whateverversionyouhave/  
vi dhcpd.conf.sample

제가 사용하는 것을 잘라서 붙여넣거나, 필요에 맞게 편집할 수 있습니다. 주의할 점은, 귀하의 네트워크가 저와 다를 수 있다는 것입니다. 이 파일은 내부 컴퓨터에 192.168.0.128에서 192.168.0.254까지의 IP 범위를 부여하며, 서브넷 마스크는 255.255.255.0입니다. 필요에 맞게 변경하십시오. 나중에 자신의 값을 사용하는 경우 eth1의 정적 IP 정보도 일치시켜야 합니다.

ddns-update-style none; # 지금은 간단하게 유지
ignore client-updates;  # 여기에서도
DHCPARGS=eth1;          # 어떤 인터페이스에서 수신할지 지정
subnet 192.168.0.0 netmask 255.255.255.0 {
# --- 기본 게이트웨이
       option routers                  192.168.0.1;   # eth1 내부 인터페이스의 게이트웨이
       option subnet-mask              255.255.255.0; # 서브넷 마스크
       option domain-name              "example.com" # 클라이언트에 제공되는 도메인 이름
       option domain-name-servers      209.242.10.10; # 사용 중인 ISP의 네임서버 IP
       option time-offset              -18000;        # 동부 표준시 - 귀하의 시간에 맞게 설정
       range 192.168.0.128 192.168.0.254;             # 클라이언트가 받을 IP 범위
       default-lease-time 21600;                      # 클라이언트가 동일한 IP를 유지하는 시간
       max-lease-time 43200;
       # 네임서버가 고정 주소로 나타나도록 설정
       host ns {
               next-server ns1.ispserver.net;         # 귀하의 ISP의 네임서버로 변경
               hardware ethernet 00:09:5B:8E:05:67;   # 하드웨어 MAC
               fixed-address 209.242.10.10;           # 귀하의 ISP의 네임서버 IP
      }
}

이제 현재 DHCP 구성 파일을 백업하고 방금 만든 파일로 복사합니다:

mv /etc/dhcpd.conf /etc/dhcpd.conf.old  
cp dhcpd.conf.sample /etc/dhcpd.conf

이제 DHCP 서버를 재시작합니다(구성 오류를 확인한 후, 오류가 있는 경우 /var/log/messages에 나열됩니다) 변경 사항이 적용되도록 합니다.

service dhcpd configtest  
service dhcpd restart

이제 eth1(내부) 인터페이스를 DHCP 서버에서 방금 설정한 내용과 일치하도록 구성해야 하므로, /etc/sysconfig/network-scripts/ifcfg-eth1 파일을 편집하여 다음과 같이 보이도록 합니다:

DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.0.1
NETMASK=255.255.255.0
GATEWAY=10.1.10.43

GATEWAY IP를 최소한 편집해야 합니다. 이는 제 eth0 인터페이스의 IP일 뿐이며, 다음 명령을 실행하여 귀하의 eth0 IP가 무엇인지 확인할 수 있습니다:

ifconfig

이렇게 하면 다음과 같은 내용이 표시됩니다: eth0 inet addr:10.1.10.43, 이것이 원하는 것입니다.

다음으로, 내부 네트워크를 통해 전파되는 DHCP 요청을 수신하도록 컴퓨터에 지시해야 합니다. 클라이언트 컴퓨터가 DHCP 주소를 찾으러 가면, IP 주소가 255.255.255.255인 모든 수신자가 들을 수 있도록 발신합니다. 따라서 DHCP 서버에 해당 IP를 수신하도록 지시해야 합니다:

route add -host 255.255.255.255 dev eth1

이제 설정을 테스트합니다. 클라이언트 컴퓨터 중 하나를 가져와서 게이트웨이가 연결된 스위치에 연결하면(제 경우에는 저렴한 홈 Netgear $30 8포트 스위치 모델# FS608) 새로운 DHCP 서버를 사용하여 IP를 찾을 수 있어야 하며, 인터넷을 탐색할 수 있어야 합니다.

또한 내부 컴퓨터를 안전하게 유지하기 위해 이 튜토리얼에서 수행한 것보다 더 많은 것을 차단하도록 방화벽을 설정해야 합니다. 이는 다음을 실행하여 구성 도구를 사용하여 수행할 수 있습니다:

setup

방화벽에 차단할 내용을 지시합니다. 일반적인 규칙은 모든 것을 차단한 다음 필요한 것만 허용하는 것이지만, 원하신다면 다른 곳에서 심도 있게 읽어보실 수 있습니다.