보안 영역 구성을 위한 로컬 라우터 구현

192.168.10.0/24 네트워크와 192.168.111.0/24 네트워크와 192.168.112.0/24 네트워크를 연결하는 망을 구축하려고 한다. 192.168.10.0/24 네트워크아래에 192.168.111.0/24 네트워크를 구성하고 192.168.111.0/24 네트워크아래에 192.168.112.0/24 네트워크를 구성할것이다. 또한 외부에서 네트워크를 볼때 192.168.10.0/24네트워크에서 연결하는 것으로 확인되게 한다. 현재 설치된 네트워크는 192.168.10.0/24네트워크만 있다. 사용중인 IP는 192.168.10.156이고, netmask는 255.255.255.0, 게이트 웨이는 192.168.10.1이다. DNS는 현재 ISP의 DNS인 203.248.252.2를 사용한다.

사용하고 있는 192.168.10.156 네트워크에 VMware Workstation을 이용하여 Bridge방식의 192.168.111.0/24인터페이스를 추가하여 네트워크를 구성한다. 생성된 VMware의 인터페이스를 VMnet8으로 이름을 설정하고 사용할 IP는 192.168.111.3으로 한다. 이때 주의해야 할점은 한 PC에서 사용 가능한 게이트웨이는 1개이기 때문에 192.168.10.1로 하고 되어야 실제로 외부와 네트워크 접속이 이루어진다. 따라서 VMnet8의 게이트웨이 및 DNS서버는 설정하지 않는다.

NAT방식으로 192.168.111.11/24의 네트워크를 가지는 Linux를 설치하고 게이트웨이는 192.168.111.1로 설정하고 DNS는 203.248.252.2로 설정한다. 네트워크 설정이 끝나면 192.168.10.156과 연결이 잘 되었는지 PING을 송수신하여 연결을 확인한다. 반대로 192.168.10.157에서 192.168.111.11로도 PING을 송수신하여 연결을 확인한다.

 

192.168.10.156 네트워크와 192.168.111.11 네트워크 간의 PING 테스트

NAT 192.168.111.254/24네트워크와 192.168.112.1/24네트워크를 가지는 PC를 설정한다. 이 PC도 두개의 랜카드를 가지지만 한 PC안에서 라우터의 역할을 수행하기 때문에 192.168.111.1을 게이트웨이로 가지고 DNS는 203.248.252.2로 설정한다. 한 PC에서 사용 가능한 게이트웨이는 1개이기 때문에 랜카드를 2개를 가지더라도 게이트웨이와 DNS는 1개만 설정하는 것이다. 네트워크 설정이 끝나면 192.168.111.11과 연결이 잘 되었는지 PING을 송수신하여 연결을 확인하고 192.168.10.156과 연결이 잘 되었는지 PING을 송수신하여 연결을 확인한다. 반대로 192.168.111.11에서 192.168.111.254로도 PING을 송수신하여 연결을 확인하고 192.168.10.157에서 192.168.111.254로도 PING을 송수신하여 연결을 확인한다. 간혹 192.168.112.1 네트워크가 비활성화 되는 경우가 있기 때문에 xwindow에서 활성화를 시켜 주어야 한다.

 

192.168.10.156 네트워크와 192.168.111.11 네트워크에서 192.168.111.254 네트워크로 PING 테스트

192.168.111.254 네트워크에서 192.168.10.156 네트워크로 PING 테스트

NAT방식으로 192.168.112.11/24의 네트워크를 가지는 Linux를 설치하고 게이트웨이는 192.168.112.1로 설정하고 DNS는 203.248.252.2로 설정한다. 네트워크 설정이 끝나면 192.168.112.11에서 192.168.112.1로 PING을 송수신 하여 네트워크 연결을 확인한다. 그외의 네트워크는 PING이 송수신 되지 않는다. 특별한 설정을 하지 않았기 때문에 192.168.111.0/24 네트워크와 192.168.112.0/24 네트워크가 다른 네트워크이기 때문에 패킷을 보낼때 게이트웨이를 192.168.111.1로 사용한다.

 

192.168.112.11 네트워크와 192.168.112.1 네트워크간 PING테스트

192.168.111.254/24네트워크와 192.168.112.1/24네트워크를 가지는 PC를 라우터로 사용하기 위해 192.168.112.0/24 네트워크로 가는 패킷은 192.168.111.254로 패킷이 전송되어야 한다고 설정을 해주어야 한다. 192.168.10.0/24 네트워크와 192.168.111.0/24 네트워크를 동시에 가지는 PC는 Bridge방식이기 때문에 설정을 따로 하지 않아도 통신이 되는 것이다.
192.168.111.254/24 네트워크와 192.168.112.1/24 네트워크를 가지는 PC를 라우터로서 사용하기 위해 firewalld.service를 해지한다. 또한 패킷을 지정된 네트워크로 보내는 기능인 패킷 포워딩 기능을 활성화 시키기 위해 '/etc/sysctl.conf'파일에 'net.ipv4.ip_forward = 1' 내용을 수정 또는 추가한다. 디폴트 값은 '0'이다. 파일추가 후 'sysctl -p' 명령을 실행하여 적용시킨다.

192.168.111.11에서 192.168.112.0/24 네트워크에 접속이 가능하게 192.168.112.0/24 네트워크로 가는 패킷은 192.168.111.254를 통해서 전송되어야 한다고 설정하기 위해 'route add -net 192.168.112.0 netmask 255.255.255.0 gw 192.268.111.254'를 입력한다.

route를 입력하여 라우트 정보를 확인하고 제대로 입력되었는지 확인한다. 네트워크 연결을 확인하기 위해 192.168.111.11과 192.168.112.11을 서로 PING을 보내 송수신을 확인한다.
192.168.10.156에서 192.168.112.0/24 네트워크에 접속이 가능하게 192.168.112.0/24 네트워크로 가는 패킷은 192.168.111.254를 통해서 전송되어야 한다고 설정하기 위해 'route -p add 192.168.112.0  MASK 255.255.255.0 192.268.111.254'를 입력한다.
route PRINT를 입력하여 라우트 정보를 확인하고 제대로 입력되었는지 확인한다. 네트워크 연결을 확인하기 위해 192.168.10.156과 192.168.112.11을 서로 PING을 보내 송수신을 확인한다.

 

192.168.112.11 네트워크와 192.168.10.156 네트워크간 PING테스트

192.168.112.11 네트워크와 192.168.10.156 네트워크간 PING테스트

192.168.112.11 네트워크와 192.168.10.156 네트워크간 PING테스트

192.168.112.11 네트워크에서 192.168.10.156 네트워크와의 PING테스트

192.168.112.11 네트워크에서 192.168.111.11 네트워크와의 PING테스트

192.168.112.11 네트워크에서 192.168.111.254 네트워크와의 PING테스트