jollaman999's Network Life

[TCP/IP] MAC - CSMA/CA, CSMA/CD, Token Ring/Bus

jollaman999 — Thu, 15 Jan 2015 01:14:34 +0900

LAN의 매체 접근 제어(MAC) 방식

MAC - Media Access Control

하나의 회선을 여러 대의 컴퓨터가 공유함으로써 발생하는 충돌을 발지하고 오류를 제거함으로써 신뢰성이 높은 통신을 할 수 있도록 한다.

CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance)

CSMA/CA 방식은 OSI 7 Layer 에서 데이터 링크 계층의 MAC 계층에서 동작하는 매체 액세스 방법으로 LAN 환경에서 사용되는 방법이다.

CA 라는 방법은 가장 먼저 매체에 엑세스 시도를 한 컴퓨터에게 사용 권한을 주는 방법이다. 먼저 데이터를 전송할 컴퓨터는 회선상태가 활동 중인지 감지한다. 다음에 회선이 비어있는 상태로 감지되면, 데이터를 전송하기 위해 회선 상에 있는 다른 컴퓨터에게 회선사용 의도를 알린다.

하지만 데이터의 전송의도를 알리는 신호가 네트워크의 또 다른 트래픽이 되어 충돌을 발생 할 수 있기 때문에 결국 속도를 떨어뜨리는 결과를 낳게된다. 이러한 이유로 현재는 거의 사용하고 있지 않는 방법이다.

- 회선 감지 : 회선 상에 흘러 다니는 데이터가 없는지 감지를 한다.

- ENQ 신호 전송 : 회선에 데이터가 감지되지 않으면 전체 네트워크 상으로 회선 사용 의도를 알린다.

- ACK 신호 전송 : 전송할 데이터가 없는 노드들은 회선을 사용해도 좋다는 신호를 전송한다.

- 데이터 전송 : 정상적으로 회선을 사용해도 좋다는 신호를 받으면 즉각 데이터의 전송을 시작한다.

CSMA/CD (Carrier Sense Multiple Access / Collision Detection)

CSMA/CD 방식은 위의 CSMA/CA 와 같은 방법으로 동작을 하지만, CSMA/CD 방식에서는 회선 상태가 비어있는 상태로 감지되면 즉각 데이터의 전송을 한다. 만약 충돌이 발생할 경우 네트워크 상의 다른 컴퓨터에게 충돌 발생 사실을 알린다. 충돌 사실을 전달받은 컴퓨터들은 임의의 시간동안 대기를 하 후 다시 재전송을 시도한다.

- 회선감지 : 회선 상에 흘러 다디는 데이터가 없는지 감지한다.

- 데이터 전송 : 회선 상에 데이터가 감지되지 않으면 즉시 데이터의 전송을 시작한다.

- 충돌 발생 : 동시에 데이터를 전송하면 충돌이 발생하고 충돌 발생 사실을 네트워크상의 다른 컴퓨터에게 알린다.

- 회선감지 : 충돌 발생 사실을 전달받은 다른 컴퓨터는 임의의 시간동안 대기한 후 다시 회선사이의 데이터를 감지한다.

== 요약 ==

CSMA/CA : 눈치를 슬슬 살피고 뙇!

CSMA/CD : 일단 질러봐! 충돌? 아써 기다릴게...

Contention Method (경쟁 메서드)

위 두 방식은 서로 경쟁적으로 회선을 액세스 하기 때문에 소규모 네트워크 방식에 적합.

CSMA/CD 동작과정

- Carrier Sense : 컴퓨터는 회선 상에 다른 컴퓨터가 다른 컴퓨터가 회선을 사용 중인지를 감지한다.

- Multiple Access : 회선상태가 비어있는 상태로 감지되면 네트워크상의 모든 컴퓨터들은 동시에 액세스 시도를 한다.

- Collision Detection : 충돌이 발생하면 충돌 발생 사실을 네트워크상의 모든 컴퓨터에게 사실을 통보한다.

Token Passing

토큰을 노드상으로 보내고 해당 타겟이 맞을 경우 처리, 그렇지 않을 경우 무시 하는 방식.

- Token Ring : 링 구조(끝과 끝이 서로 연결되어 패킷이 원을 그리며 도는 형식)의 노드상에서 패킷이 돌며 해당 타겟이 일치할 경우 토큰을 처리하고 그렇지 않을 경우 무시함. 보낸 쪽으로 토큰이 되돌아 올 경우 보낸 쪽에서 이를 파기.

- Token Bus : 링 구조와 같은 방식으로 동작. 다만 버스구조(끝과 끝이 존재하지만 바인딩을 막기위해 터미네이터란 장치를 BNC-T 커넥터로 양끝단에 사용함.)의 노드상에서 작동하는 방식.

- ICQA 네트워크 관리사 1/2급 필기 참고서 인용 -

[Linux]리눅스를 방화벽이 적용된 공유기로 사용해보자! 3/3 (wol 편) (Ubuntu/우분투, Debian/데비안 기준)

jollaman999 — Thu, 6 Feb 2014 02:56:56 +0900

먼저 WOL 기능을 이용하시기 위해선 외부로 부터 Linux 장비로 SSH 연결이 가능해야 합니다.

(SSH 설정방법 : http://thdev.net/535 )

외부로 부터 Linux 장비로 SSH를 통해 접속하도록 하기위해선 1편에서 추가 옵션 예제에 설명해 드린

"외부로 부터 Linux 장비(내부주소 192.168.10.1)로 1111 포트 번호를 통한 SSH 연결을 설정할 경우"

부분을 참고하여 iptables를 설정해 주시기 바랍니다. ( http://jollaman999.com/10 )

WOL 이란 Wake On Lan 의 줄임말로 부팅하고자 하는 장비에 특별한 패킷을 전송하여 해당 장비를 직접 전원 스위치를 누르지 않고 부팅 시킬 수 있는 기능입니다. WOL 기능을 활성화 하는 방법은 각 PC의 메인보드 제조사 마다 조금씩 다르기 때문에 자세한 설정법은 해당 메인보드 제조사의 메뉴얼을 참고하시기 바랍니다.

(기본적인 설정법은 부팅시 F2 혹은 Del 키를 눌러 BIOS/UEFI 설정에 가셔서 WOL(Wake On Lan) 기능 설정을 하는 부분을 찾으시면 Enable/Disable 항목을 선택하게끔 되어있습니다. 여기서 Enable을 선택 하신 후 F10 -> y 로 변경사항을 저장하신 후 재부팅 하시면 됩니다.)

WOL 기능을 활성화 하셨으면 이제 부터 Linux 장비에서 아래 설명에 따라 설정을 진행해 주시기 바랍니다.

먼저 Linux 장비에 wakeonlan 패키지를 설치해 줍니다.

$ sudo apt-get install wakeonlan

다음으로 /etc/iptables.sh 파일을 열어 OUTPUT 정책 마지막에 다음 라인을 추가해 줍니다.

$ sudo gedit /etc/iptables.sh

iptables -A OUTPUT -p udp -s 192.168.10.1 --sport 1024:65535 -d 192.168.10.255 --dport 9 -m state --state NEW -j ACCEPT # wol

192.168.10.1 은 Linux 장비의 내부망과 연결되어 있는 인터페이스 주소를 나타냅니다.

192.168.10.255 는 해당 서브넷의 브로드 캐스트 주소를 나타냅니다.

예를 들어 리눅스 장비의 내부망과 연결되어 있는 인터페이스 주소를 10.0.0.1 로 설정했다면,

-s 옵션에는 10.0.0.1 을 -d 옵션에는 10.0.0.255 를 넣어 주시면 됩니다.

여기까지 잘 따라오셨다면 이제 외부에서 Linux 장비로 SSH 연결을 통해 접속한 후 다음과 같이 명령을 실행하면 내부망에 있는 해당 장비를 원격으로 부팅 하실 수 있습니다. ( 11:11:11:00:00:01 부분에 부팅 하고자 하는 해당 장비의 MAC 주소를 적어주시면 됩니다. 192.168.10.255 는 위에서도 말 씀 드렸듯이 해당 서브넷의 브로드 캐스트 주소를 나타냅니다.)

$ sudo wakeonlan -i 192.168.10.255 11:11:11:00:00:01

위 명령어를 매번 치는것이 불편하시다면 ( 마찬가지로 11:11:11:00:00:01 부분은 해당 장비의 MAC 주소입니다. )

$ echo "alias wol-main='sudo wakeonlan -i 192.168.10.255 11:11:11:00:00:01'" >> .bashrc

명령을 실행하시고 $ bash 를 쳐서 bash 쉘을 다시 띄우시면 다음부터는 SSH 접속 후

$ wol-main

만의 입력으로도 해당 장비를 바로 부팅시킬 수 있습니다~^^

만약 해당 장비가 부팅되지 않을경우 해당 장비가 WOL을 지원하고 설정이 정상적으로 되어있는지 확인해 주시기 바랍니다. 또한 해당 장비에 리눅스가 설치되어 있는 경우 일부 경우에 따라 추가 설정이 필요할 수 도 있습니다.

참고 : http://blog.naver.com/PostView.nhn?blogId=yooysj&logNo=120118476626

여기 까지 리눅스를 이용해 방화벽이 적용된 공유기를 만드는 모든 과정이 끝났습니다~!!

지금 까지 제 글을 봐주셔서 대단히 감사합니다~^^

[Linux]리눅스를 방화벽이 적용된 공유기로 사용해보자! 2/3 (dhcpd 편) (Ubuntu/우분투, Debian/데비안 기준)

jollaman999 — Thu, 6 Feb 2014 02:56:25 +0900

1편에서는 iptables를 활용하여 기본적인 공유기와 방화벽 설정을 마쳤다면,

이번 편에서는 dhcpd를 사용하여 내부망에 내부 주소를 자동으로 부여해 줄 수 있도록 설정해 보도록 하겠습니다.

먼저 우분투, 데비안 기준으로 다음과 같은 명령어를 쳐서 dhcpd 를 설치해줍니다.

$ sudo apt-get install isc-dhcp-server

dhcpd 설치를 마쳤으면 먼저 만일의 경우를 대비해 아래 명령어를 실행하여 dhcpd 설정 샘플 파일을 백업해 줍니다.

$ sudo cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.bak

다음으로 실제 설정 파일을 생성하여 아래를 참고하여 설정하여 저장해 줍니다.

$ sudo gedit /etc/dhcp/dhcpd.conf

>>>>>>>>설정파일 시작<<<<<<<<

ddns-update-style none;

## 부여한 주소에 대한 만료시간을 지정해 줍니다. 단위는 초 단위 입니다.

default-lease-time 600;

max-lease-time 7200;

log-facility local7;

## 해당 내부 네트워크의 서브넷 주소, 서브넷 마스크를 설정해 주고 내부 네트워크 자동 주소 부여 범위를 설정해 줍니다. (주소 범위는 리눅스 장비의 내부주소와 겹치지 않는 범위내에서 설정해 주시기 바랍니다.)

## 도메인 네임서버에 자동으로 부여할 DNS 주소를 설정해 줍니다. 여기선 KT 주소를 예로 들었습니다. 콤마로 구분해 줍니다.

## 도메인 네임에는 넣고 싶은 문구를 넣으시면 됩니다. 저는 제 블로그 주소를 예로 들었습니다.

## 라우터 옵션에는 리눅스장비의 eth1, 즉 내부망으로 연결된 인터페이스에 부여한 주소를 입력해 줍니다.

## 마지막으로 브로드 캐스트 주소와 부여한 주소에 대한 만료시간을 설정해 줍니다.

subnet 192.168.10.0 netmask 255.255.255.0 {

range 192.168.10.100 192.168.10.254;

option domain-name-servers 168.126.63.1, 168.126.63.2;

option domain-name "jollaman999.com";

option routers 192.168.10.1;

option broadcast-address 192.168.10.255;

default-lease-time 3600;

max-lease-time 7200;

}

## host 옵션은 내부 장비들 중에 주소를 자동으로 부여하되 고정적으로 주소를 지정하여 부여하고 싶을때 넣어줍니다.

## host 옆에는 임의로 이름을 지정해 주시면 되고

## hardware ethernet 에 해당 장비의 MAC 주소를 넣어주고 fixed-address 에 주소를 지정해 주시면 됩니다.

## MAC 주소는 윈도의 경우 ipconfig /all 리눅스의 경우 ifconfig 를 통해 확인할 수 있습니다.

host Main-Computer {

hardware ethernet 11:11:11:00:00:01;

fixed-address 192.168.10.111;

}

host Second-Computer {

hardware ethernet 22:22:22:00:00:02;

fixed-address 192.168.10.222;

}

>>>>>>>>설정파일 끝<<<<<<<<

설정파일 생성을 완료하여 저장하셨으면 이제 dhcpd 서비스를 재시작 하여 변경한 설정을 적용해 줍니다.

$ sudo service isc-dhcp-service stop

$ sudo service isc-dhcp-service start

이제 스위칭 장비에 내부 장비를 연결할 경우 자동으로 내부 주소가 부여되여 별도 설정 과정 없이 바로 인터넷을 이용 하실 수 있습니다.

여기까지 dhcpd를 설정하시느라 수고 많으셨습니다..^^

다음 편에서는 WOL (Wake On Lan) 기능을 사용하여 외부에서 내부망에 있는 장비를 부팅 시킬 수 있는 방법에 대해 설명하도록 하겠습니다..^^

(WOL 기능이 무엇인지 잘 모르겠다.. 밖에서 내부망에 있는 컴퓨터를 부팅할 필요가 없다.. 하시는 분들은 여기까지만 설정하셔도 무방합니다~. 단, 나는 밖에서 내 컴퓨터를 켜서 원격으로 쓰고싶다. 하시는 분들은 다음편으로 넘어오시면 됩니다~^^)

[Linux]리눅스를 방화벽이 적용된 공유기로 사용해보자! 1/3 (iptables 편) (Ubuntu/우분투, Debian/데비안 기준)

jollaman999 — Thu, 6 Feb 2014 02:55:59 +0900

리눅스가 설치되어 있는 컴퓨터 혹은 임베디드 장비를 이용하여

iptables와 dhcpd를 활용하여 방화벽이 적용된 공유기로 만드는 법을 설명해 드리고자 합니다.

또한 wol 기능을 이용하여 외부에서 내부 장비를 부팅 시키는 방법에 대해서 추가 설명을 드리고자 합니다.

여기서는 Ubuntu, Debian 기준으로 설명드리지만..

이미 리눅스를 사용하시는 분들이라면..

다른 배포판의 리눅스를 사용하시는 분들도 비슷한 방법으로 손쉽게 적용하실 수 있으리라 생각합니다..^^

iptables 활용이 처음엔 낯설고 어렵게 느껴지기 마련입니다...

저도 처음엔 명령어들이 복잡하고 적용하는게 만만치 않았었거든요;;ㅠ

따라서 여기서는 제가 그동안 구글링과 관력 서적을 참고하며 제가 미리 구성해둔 기본틀을 이용하여 설명해 드리고자 합니다.

또한, 여기서는 각 명령어 옵션들에 대해 자세한 설명을 하기 보다는 이 글을 보시는 여러분들이 이해하시기 쉽도록 기본 짜임새를 가지고 설정하는데 필요한 부분들 위주로 설명해 드리고자 합니다.

먼저 리눅스를 공유기 처럼 사용하시기 위해서는 기본적으로 LAN 인터페이스 2개, 크로스케이블, 스위칭 장비가 필요합니다.

(크로스 케이블 제작 방법 : http://forum.falinux.com/zbxe/index.php?document_srl=445420&mid=network_programming )

(일부 아파트의 경우 인터넷 단자함에 이미 스위칭 장비가 설치되어 있는 경우가 있습니다. 이를 활용하셔도 됩니다.)

네트워크 구성도는 다음과 같습니다. (발로 그려도 이거보단 잘 그릴지도...ㅠ)

리눅스 장비의 한 인터페이스는 외부 인터넷과 연결되어 있어야 하며, 여기서는 해당 장비를 eth0 이라 표기하였습니다.

리눅스 장비의 다른 한 인터페이스는 내부망, 즉 스위칭 장비와 크로스 케이블로 연결되어 있어야 하며 여기서는 해당 장비를 eth1 이라 표기하였습니다.

내부망에 사용될 장비들은 스위칭 장비의 나머지 포트들에 연결 하시면 됩니다.

이제 네트워크를 위와 같이 구성하셨다는 가정하에 본격적으로 설정을 시작해 보도록 하겠습니다.

첫째로 iptables 설정을 위한 스크립트를 만들어 보도록 하겠습니다.

[ IPTABLES 설정 하기 ]

먼저 터미널을 여신 후 (GNOME 환경 기준 단축키 : Ctrl+Alt+T)

sudo gedit /etc/iptables.sh

를 입력하여 제가 미리 구성해 놓은 기본틀인 아래의 스크립트를 넣어 주신후 저장 버튼을 눌러줍니다.

Applying Variables는 각자 환경에 맞게 설정해 주시기 바랍니다.

(OUTTER_INT 는 외부망과 연결되어 있는 인터페이스, INNER_INT 는 내부망과 연결되어 있는 인터페이스에 해당하고 INNER_NET은 내부 네트워크 대역에 해당합니다.)

또한 ## 연두색 글자 로 설명해 놓은것들을 참고하여 각자 원하는 대로 설정을 해주시기 바랍니다.

※ 참고로 네트워크 통신 특성상 내부망에 있는 두 장비간의 연결은 Linux 장비를 거치지 않기 때문에 해당 장비에서 별다른 설정이 없을 경우 차단되지 않습니다. (내부망의 장비와 Linux 장비간의 통신은 차단됩니다.)

※ 본 작업을 SSH 연결을 통해 작업하실 경우 기본 DROP 정책에 의해 SSH 연결이 차단됩니다!

>>>>>>>>스크립트 시작<<<<<<<<

#!/bin/bash

## 현재 스크립트가 루트/sudo 권한으로 실행중인지 체크하고 그렇지 않을 경우 에러 메세지를 표시합니다.

echo [*] Checking if run on the root...

if [ `whoami` != root ]; then

echo [!] Error : Please run this script as root or using sudo!!

exit 1

echo [*] Setting Up IPTABLES Rules...

echo [*] Applying Variables...

OUTTER_INT=eth0

INNER_INT=eth1

INNER_NET=192.168.10.0/24

## 외부 IP 주소를 얻어옵니다. (이유는 NAT 정책에 설명해 놓은 글을 참고하시기 바랍니다.)

## ifconfig 출력 화면을 활용하여 현재 외부망으로 연결되어있는 인터페이스로 부터 외부 IP 주소를 얻어옵니다.

## 현재 IP주소는 root 계정의 홈폴더에 myip 라는 파일에 저장됩니다.

echo [*] Getting current ip address from Outter Interface...

ifconfig $OUTTER_INT > $HOME/myip.tmp1

sed "s/Bcast:/\n/" < $HOME/myip.tmp1 > $HOME/myip.tmp2

head -2 $HOME/myip.tmp2 | tail -1 > $HOME/myip.tmp3

sed "s/ \ \ \ \ \ \ \ \ \ inet\ addr://" < $HOME/myip.tmp3 > $HOME/myip

rm -rf $HOME/myip.tmp*

IP=$(cat $HOME/myip)

## 현재 iptables에 설정 되어 있는 항목들을 지웁니다.

echo [*] Flushing current iptables rules...

### Flush ###

iptables -F

iptables -F -t nat

iptables -X

## FTP Passive 모드 작동을 위한 모듈이 로드되어 있을 경우 해제합니다.

modprobe -r ip_conntrack_ftp

## iptables 기본 정책들을 DROP으로 설정합니다. 이로써 허용한 패킷들 외에는 모두 차단됩니다.

echo [*] Changing default policy to DROP...

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

## INPUT 정책을 설정합니다.

echo [*] Applying INPUT rules...

### INPUT ###

## Check Packets

## 들어온 패킷이 정상적으로 연결을 맺은 패킷이 아닐경우 차단합니다.

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Anti Spoofing

## 내부 주소로 부터 IP 스푸핑이 되는 것을 방지합니다.

iptables -A INPUT -i $INNER_INT ! -s $INNER_NET -j DROP

## Accept

## 외부와 통신하기 위한 포트 번호들을 설정합니다.

## 다른 포트 번호 추가시 -p tcp 또는 -p udp 를 지정한 후 --sport 뒤의 포트 번호를 수정하여 추가해주시면 됩니다.

## 1443은 금융사이트 이용시 TouchEn key 라는 키보드 보안 프로그램을 위한 포트번호입니다. 해당 포트 번호가 차단되어 있을 경우 금융사이트를 원활히 이용하실 수 없습니다.

## 각 포트 번호들에 설명은 Forward 정책에 표시해 뒀으니 참고하시기 바랍니다.

iptables -A INPUT -p tcp ! -s $IP --sport 20 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 21 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 80 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 443 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 465 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 993 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 1443 -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p udp ! -s $IP --sport 53 -d $IP --dport 1024:65535 -m state --state NEW -j ACCEPT

iptables -A INPUT -p udp ! -s $IP --sport 123 -d $IP --dport 1024:65535 -m state --state NEW -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # from other to here

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT # from here to other

## OUTPUT 정책을 설정합니다. 기본 구조는 INPUT과 비슷하나 출발지와 목적지만 반대로 되어있다고 보시면 됩니다.

## 포트번호 추가시 INPUT 정책과 비슷한 방식으로 ACCEPT 부분에 -p tcp 또는 -p udp 지정 후 --dport 뒤의 포트 번호를 수정하여 추가해 주시면 됩니다.

echo [*] Applying OUTPUT rules...

### OUTPUT ###

## Check Packets

iptables -A OUTPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 20 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 21 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 80 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 443 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 465 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 993 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 ! -d $IP --dport 1443 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p udp -s $IP --sport 1024:65535 ! -d $IP --dport 53 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p udp -s $IP --sport 1024:65535 ! -d $IP --dport 123 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT # from other to here

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT # from here to other

## FTP Passive 모드와 통신하기 위한 모듈을 로드합니다.

echo [*] Loading FTP Passive Connection Tracking Module...

### Load FTP Passive Connection Tracking Module ###

modprobe ip_conntrack_ftp

## Forward 정책을 설정합니다.

## 마찬가지로 포트번호 추가시 ACCEPT 부분에 -p tcp 또는 -p udp 지정 후 --dport 뒤의 포트 번호를 수정하여 추가해 주시면 됩니다.

echo [*] Applying Forward rules...

### Forward ###

## Check Packets

iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## Anti Spoofing

iptables -A FORWARD -i $INNER_INT ! -s $INNER_NET -j DROP

## ACCEPT

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 20 --syn -m state --state NEW -j ACCEPT # ftp-control

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 21 --syn -m state --state NEW -j ACCEPT # ftp-data

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 80 --syn -m state --state NEW -j ACCEPT # http

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 443 --syn -m state --state NEW -j ACCEPT # https

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 465 --syn -m state --state NEW -j ACCEPT # smtp-ssl

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 993 --syn -m state --state NEW -j ACCEPT # imap-ssl

iptables -A FORWARD -p tcp -i $INNER_INT -s $INNER_NET --dport 1443 --syn -m state --state NEW -j ACCEPT # TouchEn key

iptables -A FORWARD -p udp -i $INNER_INT -s $INNER_NET --dport 53 -m state --state NEW -j ACCEPT # dns

iptables -A FORWARD -p udp -i $INNER_INT -s $INNER_NET --dport 123 -m state --state NEW -j ACCEPT # ntp

iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

echo [*] Applying NAT rules...

### NAT ###

## 외부 주소를 내부 주소로 변환해 주기 위한 NAT 설정을 합니다.

## 보통 대부분 외부 주소는 부팅시 마다 IP 주소가 바뀌는 유동 IP로 지정되기 때문에 MASQUERADE 옵션을 사용하는데, 이 옵션은 대신에 CPU의 사용량이 많아 지게 집니다.

## 이렇게 되면 사양이 낮은 임베디드 장비의 경우 CPU 부하로 인해 인터넷 속도가 떨어지는 현상이 발생합니다.

## 따라서 저는 대신에 위에서 외부 IP 주소를 얻어오는 스크립트를 적용하였고 SNAT 옵션으로 외부 IP 주소를 고정적으로 설정하여 CPU 부하를 줄였습니다.

iptables -t nat -A POSTROUTING -s $INNER_NET -o $OUTTER_INT -j SNAT --to-source $IP

## 공유기 설정을 위한 IP 포워딩 설정을 해줍니다. 이로써 외부주소를 내부주소로 변환하는 작업이 가능해 집니다.

echo [*] Enabling IP fowarding...

### Enable IP Forwading ###

echo 1 > /proc/sys/net/ipv4/ip_forward

echo [*] Setting Up IPTABLES Rules Finished!!!

exit 0

>>>>>>>>스크립트 끝<<<<<<<<

추가 옵션들 예제... (포트포워딩 및 기타 옵션들...)

== 외부로 부터 Linux 장비(내부주소 192.168.10.1)로 1111 포트 번호를 통한 SSH 연결을 설정할 경우 ==

( 1111 을 원하는 포트 번호로 수정, 내부 SSH 사용 포트번호는 22 라 가정 )

## INPUT 정책 마지막에 다음 라인들 추가

iptables -A INPUT -p tcp ! -s $IP --sport 1024:65535 -d $IP --dport 1111 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 1024:65535 -d 192.168.10.1 --dport 22 --syn -m state --state NEW -j ACCEPT

## OUTPUT 정책 마지막에 다음 라인들 추가

iptables -A OUTPUT -p tcp -s $IP --sport 1111 ! -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.10.1 --sport 22 ! -d 192.168.10.1 --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

## FORWARD 정책 마지막에 다음 라인 추가

iptables -A FORWARD -p tcp --dport 1111 --syn -m state --state NEW -j ACCEPT

## NAT 정책 마지막에 다음 라인 추가

iptables -t nat -A PREROUTING -p tcp -d $IP --dport 1111 -j DNAT --to 192.168.10.1:22

== 외부로 부터 내부에 있는 192.168.10.100 으로 2222 포트번호를 통한 원격 데스크톱 연결 을 설정할 경우 ==

( 2222 를 원하는 포트 번호로 수정, 내부 원격 데스크톱 연결 사용 포트번호는 3389 라 가정 )

## INPUT 정책 마지막에 다음 라인들 추가

iptables -A INPUT -p tcp ! -s $IP --sport 1024:65535 -d $IP --dport 2222 --syn -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp ! -s $IP --sport 1024:65535 -d 192.168.10.100 --dport 3389 --syn -m state --state NEW -j ACCEPT

## OUTPUT 정책 마지막에 다음 라인들 추가

iptables -A OUTPUT -p tcp -s $IP --sport 2222 ! -d $IP --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.10.100 --sport 3389 ! -d 192.168.10.100 --dport 1024:65535 --syn -m state --state NEW -j ACCEPT

## FORWARD 정책 마지막에 다음 라인들 추가

iptables -A FORWARD -p tcp --dport 2222 --syn -m state --state NEW -j ACCEPT

iptables -A FORWARD -p tcp -d 192.168.10.100 --dport 3389 --syn -m state --state NEW -j ACCEPT

## NAT 정책 마지막에 다음 라인들 추가

iptables -t nat -A PREROUTING -p tcp -d $IP --dport 2222 -j DNAT --to 192.168.10.100:3389

iptables -t nat -A POSTROUTING -p tcp -o $INNER_INT -s $INNER_NET -d 192.168.10.100 --dport 3389 -j SNAT --to 192.168.10.1 ## 내부망에서도 외부주소를 통한 접속이 가능해지도록 합니다.

== Linux 장비에 MySQL / php5-fpm 을 설치하여 사용하고자 할때 ==

( 설치형 블로그나 설치형 사이트 설정시 MySQL 주소는 127.0.0.1 로 지정해 주시면 정상 작동합니다.)

( 같은 방식으로 php5-fpm 모듈 사용시 3306 을 9000 으로 변경하여 추가해 주시면 됩니다.)

## INPUT 정책 마지막에 다음 라인 추가

iptables -A INPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 3306 --syn -m state --state NEW -j ACCEPT

## OUTPUT 정책 마지막에 다음 라인 추가

iptables -A OUTPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 3306 --syn -m state --state NEW -j ACCEPT

== Linux 장비에 xrdp 를 설치 할 경우 내부적으로 추가해 줘야 할 사항 ==

## INPUT 정책 마지막에 다음 라인들 추가

iptables -A INPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 3350 --syn -m state --state NEW -j ACCEPT # xrdp-sesman

iptables -A INPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 5910:5999 --syn -m state --state NEW -j ACCEPT # xrdp-sesman-xvnc

## OUTPUT 정책 마지막에 다음 라인들 추가

iptables -A OUTPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 3350 --syn -m state --state NEW -j ACCEPT # xrdp-sesman

iptables -A OUTPUT -p tcp -s 127.0.0.1 --sport 1024:65535 -d 127.0.0.1 --dport 5910:5999 --syn -m state --state NEW -j ACCEPT # xrdp-sesman-xvnc

== 그외 포트 번호들... ==

U+ 고객센터 모바일 앱 : 210.124.165.18 / TCP 39080, TCP 39043

멜론 모바일 앱, 멜론 윈도8 앱 로그인 : TCP 4554

카트라이더 서버와의 통신 : TCP 39311, UDP 39311

카트라이더 실행시 Check ID : TCP 47611

Touch Enkey : TCP 1443

입맛대로 설정하고 저장을 완료하셨으면 터미널에 다음 명령어를 입력하여 iptables.sh 파일에 실행권한을 부여해 줍니다.

sudo chmod +x /etc/iptables.sh

다음으로 인터페이스 설정을 해보도록 하겠습니다.

우분투, 데비안 기준으로

sudo gedit /etc/network/interfaces

를 쳐서 인터페이스 설정 파일을 열고 다음과 같이 수정해 줍니다.

(Redhat 기반 배포판의 경우 설정 방법이 다르므로 인터넷 검색을 통해 참고해 주시기 바랍니다.)

(eth0, eth1 부분은 각자 환경에 맞게 적용해 주시기 바랍니다.)

(아래 설정파일을 열어서 인터페이스 설정을 수동으로 해주실 경우 network-manager 패키지가 설치되어 있을 경우 충돌이 일어나므로 해당 패키지를 제거해 주셔야 합니다.

$ sudo apt-get purge network-manager

명령어를 통해 해당 패키지를 제거해 주시면 됩니다.)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.10.1

netmask 255.255.255.0

network 192.168.10.0

다음으로 iptables 설정 스크립트가 부팅시 자동으로 실행되도록 하기 위해 rc.local 파일을 열어 다음과 같이 수정해 줍니다.

우분투, 데비안 기준으로

(배포판에 따라 부팅스크립트 위치가 다를 수 있습니다.)

sudo gedit /etc/rc.local

로 해당 파일을 여신 후

/etc/iptables.sh

를 exit 0 이라 써있는 라인 위에 추가해 주시면 됩니다.

#!/bin/sh -e

# rc.local

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will "exit 0" on success or any other

# value on error.

# In order to enable or disable this script just change the execution

# bits.

# By default this script does nothing.

bash /etc/iptables.sh

exit 0

이제 sudo init 6 을 입력하셔서 재부팅을 하시면 iptables를 통한 공유기와 방화벽 설정이 적용됩니다.

바로 적용하시고자 한다면 아래 명령어들을 차례로 입력해 주시면 됩니다.

sudo ifdown eth0

sudo ifdown eth1

sudo ifup eth0

sudo ifup eth1

sudo bash /etc/iptables.sh

그럼 아래와 같은 문구들이 출력되며 공유기 및 방화벽 설정이 적용됩니다.

[*] Checking if run on the root...

[*] Setting Up IPTABLES Rules...

[*] Applying Variables...

[*] Getting current ip address from Outter Interface...

[*] Flushing current iptables rules...

[*] Changing default policy to DROP...

[*] Applying INPUT rules...

[*] Applying OUTPUT rules...

[*] Loading FTP Passive Connection Tracking Module...

[*] Applying Forward rules...

[*] Applying NAT rules...

[*] Enabling IP fowarding...

[*] Setting Up IPTABLES Rules Finished!!!

다음 부팅시 부터는 /etc/iptables.sh 파일 수정 후 공유기 및 방화벽 설정을 다시 적용하고자 한다면

sudo bash /etc/iptables.sh

명령어만 입력해 주시면 됩니다.

위 명령어를 매번 치는것이 불편하시다면

$ echo "alias firewall='sudo bash /etc/iptables.sh'" >> .bashrc

명령을 실행하시고 $ bash 를 쳐서 bash 쉘을 다시 띄우시면 다음부터는

$ firewall

만의 입력으로도 바로 적용시킬 수 있습니다~^^

여기 까지 iptables 를 설정 하시느라 수고 많으셨습니다...^^

실제론 저 명령어들을 하나하나 입력하는 것이 만만치 않지만;; 제가 미리 써드린 스크립트를 활용하여 쉽게 적용하실 수 있으리라 생각합니다...^^

다음 편에선 내부망에 연결된 장비들에게 자동으로 내부 IP 주소를 부여해 줄 수 있도록 dhcpd 를 설정해 보도록 하겠습니다.

[NAT] GNS3의 라우터, 스위치를 이용한 공유기 시뮬레이션

jollaman999 — Mon, 23 Dec 2013 00:52:14 +0900

먼저 ISP(Internet Service Provider)란 SK, KT 등과 같이 인터넷 서비스를 제공해 주는 업체에 해당한다.

외부 인터넷과 통신을 하기 위해 ISP로 부터 IP를 할당받게 되는데 이를 공인 IP라 한다.

공유기는 외부 ISP로 부터 이 공인 IP주소를 할당 받아 이를 내부적으로 여러개의 주소를 사용하게 해줌으로써 여러 PC들 간에 인터넷 통신을 가능하게 해주는 장비이다.

이 공유기 내부로 할당되어 지는 여러개의 주소들을 사설 IP라 불리며 이 IP들은 공유기에 연결된 내부 장비들 끼리의 통신과 내부에서 외부로의 통신만 가능하며 외부에서 공유기 내부에 있는 PC에 직접 접속하기 위해서는 포트포워딩이란 추가 설정이 필요하다.

좌측에 SW1과 R1을 합쳐놓은 것이 공유기에 해당하며 R1을 기준으로 좌측은 모두 내부 주소를 사용하게 된다.

실제로 ISP와 인터넷으로 연결되는 공간에는 수많은 라우터들이 존재할 것이다. 그외에도 웹 주소의 실제 IP 주소를 알려주기 위한 DNS 서버도 존재 할 것이다. 또한 R1과 R2 사이에는 WAN으로 시리얼 링크 같은 전용선을 통해 연결되어 있을 것이다. 그런데 여기서는 공유기의 시뮬레이션을 목적으로 하기 때문에 R2를 ISP의 라우터라 가정하고 DNS와 전용선은 생략하도록 하자.

우측에 Kali_Linux 가상 머신은 외부 웹서버라고 하고서 진행하도록 하겠다.

먼저 ISP에 해당되는 R2에 주소설정을 해주겠다.

R2#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#interface f0/0

R2(config-if)#ip address 200.0.0.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#

*Mar 1 00:11:46.971: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

*Mar 1 00:11:47.971: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

R2(config-if)#interface f1/0

R2(config-if)#ip address 123.21.111.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#

*Mar 1 00:12:45.291: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up

*Mar 1 00:12:46.291: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

R2(config-if)#

다음으로 공유기가 ISP로 부터 자동으로 주소를 부여 받을 수 있도록 R2에 DHCP를 설정해 준다.

R2(config)#ip dhcp excluded-address 200.0.0.1 200.0.0.9 (200.0.0.1~200.0.0.9 는 자동 부여에서 제외한다.)

R2(config)#ip dhcp pool isp (DHCP 범위 항목의 이름을 'isp' 라 하여 생성한다.)

R2(dhcp-config)#network 200.0.0.0 255.255.255.0 (네트워크 주소 200.0.0.0, 넷마스크는 255.255.255.0)

R2(dhcp-config)#default-router 200.0.0.1 (공유기가 사용할 기본 게이트웨이 주소에 해당한다.)

R2(dhcp-config)#exit

R2(config)#service dhcp (R2 라우터에서 DHCP 서비스를 활성화 해준다.)

R2(config)#

이제 R2의 우측 부분을 설정하기로 하겠다.

f1/0에 123.21.111.1/24 의 IP 주소를 설정해준다.

R2(config)#int f1/0

R2(config-if)#ip address 123.21.111.1 255.255.255.0

R2(config-if)#no shutdown

*Mar 1 00:31:55.871: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up

*Mar 1 00:31:56.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

R2(config-if)#

이제 R1의 f0/0에서 DHCP를 활성화 해준다.

R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface f0/0

R1(config-if)#ip address dhcp

R1(config-if)#no shutdown

그럼 잠시후 DHCP 로부터 주소를 받았다는 메세지가 뜨고 R1에서 show dhcp lease 명령어로 확인을 해보면 정상적으로 주소를 받아온 것을 확인 할 수 있다. R2에서는 show ip dhcp binding 명령어를 통해 정상적으로 IP주소를 부여 한 것을 확인 할 수 있다.

이제 Kali_Linux에 123.21.111.111 주소를 설정해 주고 웹서버 서비스를 시작하도록 하겠다.

이제 R1에서 NAT 설정을 하기로 하겠다.

f0/0에서 ip nat outside 명령어를 f1/0에서 ip nat inside 명령어를 입력한 후 f1/0을 활성화 해준다.

또한 스크린샷에는 빠졌는데... f1/0에 ip address 192.168.100.1 255.255.255.0 명령어를 입력해준다.

이제 Default Route 를 설정해 준다. Default Route란 라우터가 외부 주소로 접속하기 위해 기본적으로 이동할 경로를 설정해 주는 것이다.

기본경로는 IP주소와 넷마스크 모두 0으로 채워준다. IP 주소로 0.0.0.0 넷마스크로 0.0.0.0를 사용한다.

여기서 ISP로 향하는 주소는 200.0.0.1 이므로 ip route 0.0.0.0 0.0.0.0 200.0.0.1 명령어를 입력해준다.

show ip route 명령어를 통해 확인을 해보면 *S 로 표시되는 것을 확인할 수 있다.

* 는 Default Route 를 의미하며 S 는 Static Route 즉 경로를 고정적으로 지정해 주었다는 의미이다.

다음으로 192.168.100.100과 192.168.100.101에 대해 허용하는 두 access-list 1을 만들어 준다.

R1(config)#access-list 1 permit 192.168.100.100

R1(config)#access-list 1 permit 192.168.100.101

그런 후 ip nat inside source list 1 interface f0/0 overload 명령어로 NAT을 활성화 해준다.

여기서 interface f0/0은 R1에서 외부 ISP와 연결되는 인터페이스이다.

NAT의 종류엔 다음과 같은 것들이 있으며 여기서 사용하는 NAT의 종류는 PNAT에 해당한다.

(SNAT - Static NAT 외부주소와 내부주소를 1:1로 연결해 주는 방식 외부주소의 수와 내부주소의 수가 같다.

DNAT - Dynamic NAT SNAT과 비슷한 개념이지만 사용하고 있지 않은 외부주소를 자동으로 내부주소와 연결해 준다.

PNAT - Port Translation NAT 포트 변환을 통해 외부주소 한개로 여러개의 내부주소를 할당하는 것이 가능하다. 공유기에서 많이 쓰는 방식)

이제 R1의 내부주소로의 DHCP를 활성화 하기 위해 다음과 같이 설정해 준다. DHCP 설정방법에 대한 설명은 위해서 간단히 설명한 바 있으므로 여기선 생랙하도록 하겠다.

R1(config)#ip dhcp excluded-address 192.168.100.1 192.168.100.99

R1(config)#ip dhcp pool nat

R1(dhcp-config)#network 192.168.100.0 255.255.255.0

R1(dhcp-config)#default-route 192.168.100.1

R1(dhcp-config)#^Z

R1#

이제 공유기에 연결된 Ubuntu_14.04에서 확인을 해보면 192.168.100.100의 주소가 자동으로 할당되었고, 123.21.111.111로 접속을 해보면 정상적으로 접속이 되는 것을 확인 할 수 있다.

(참고로 가상머신 인터페이스들 중 외부 인터넷과 연결된 것이 있다면 '케이블 연결됨' 옵션의 체크를 해제하여 주기 바란다. 그렇지 않을 경우 시뮬레이션 내의 123.23.111.111 가 아닌 외부 인터넷을 통해 123.23.111.111로 연결하려 하기 때문에 접속이 되지 않는다.)

Linux_Mint 에서도 192.168.100.101의 주소가 자동으로 할당되었고, 마찬가지로 123.21.111.111에 정상적으로 접속이 되는 것을 확인 할 수 있다.

[Trouble Shootings] 라우터 부팅시 TFTP 서버로 부터 config 설정을 로드하려 하며 부팅이 지연되는 경우 (%Error opening tftp://255.255.255.255/network-config)

jollaman999 — Sun, 22 Dec 2013 18:25:06 +0900

몇몇 시스코 장비들 중에서 다음과 같은 에러 메세지들을 내뿜으며 부팅이 지연되는 경우가 발생한다.

%Error opening tftp://255.255.255.255/network-config

%Error opening tftp://255.255.255.255/cisconet.cfg

%Error opening tftp://255.255.255.255/R1-config

%Error opening tftp://255.255.255.255/R1.cfg

원인은 일부 시스코 장비들에 기본적으로 service config 명령이 적용되어 있기 때문이라고 한다.

이 명령은 시스코 장비 부팅시 TFTP로 부터 설정을 로드하도록 한다.

일반적으로 이 TFTP 서버를 잘 사용하지 않기 때문에 위와 같은 에러메세지가 출력된다.

해결 방법은 다음과 같다.

R1>enable

R1#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#no service config

R1(config)#^Z

R1#

*Mar 1 00:13:42.375: %SYS-5-CONFIG_I: Configured from console by console

R1#write

Building configuration...

[OK]

R1#

R1#reload

Proceed with reload? [confirm]

이제 TFTP 서버 연결을 시도하려는 메세지가 나타나지 않으며 다음 부팅시에도 보통 부팅시 처럼 정상적으로 부팅이 된다.

[OSPF] CCNA OSPFv2 & VLAN Trunking 첫 작품!!

jollaman999 — Sun, 22 Dec 2013 01:14:46 +0900

[NAT] NAT 테스트 - PAT(Port Address Translation)

jollaman999 — Sun, 22 Dec 2013 01:13:20 +0900

하나의 외부주소를 가지고 포트번호 변환을 통해 내부적으로 여러개의 주소를 쓸 수 있도록 해준다.
일반적으로 가정에 설치된 공유기에서 많이 이용되는 방식~!!
Router1(R1) + Swithch1(SW1) = 공유기 에 해당된다.

장점 : 하나의 주소를 가지고 내부적으로 여러개의주소를 쓸 수 있기 때문에 IP 주소 할당 수를 줄일 수 있다.
단점 : 외부에서 내부에 있는 PC로 직접 연결 할 수 없다. (포트포워딩이란 것을 통해 가능), 내부적으로 많은 처리를 해야하므로 내부 PC 수가 증가할 수록 라우터의 자원을 많이 소모하게 된다.

웹서버/인터넷 : 100.0.0.100 (Kali_Linux)
외부주소 : 200.0.0.1 (Router 1)
내부주소 : 10.0.0.100 (Ubuntu_14.04), 10.0.0.101 (Windows_7)

[NAT] NAT 테스트 - DNAT (Dynamic NAT)

jollaman999 — Sun, 22 Dec 2013 01:11:53 +0900

외부주소와 내부주소를 1:1로 연결해준다. 비슷한 개념으로 SNAT (Static NAT)은 이를 고정적으로 할당해 준다. DNAT은 사용되지 않고 있는 외부주소에 대해 이 주소를 내부에 자동으로 할당해 주므로 사용되지 않고 있는 외부 IP주소의 낭비를 방지한다.

단점 : 내부적으로 사용하는 PC가 많아지면 이와 같은 수의 외부주소가 필요하므로 외부 IP 주소를 부여하는데 있어 그다지 효율적인 대안이 되지 않는다. 이의 대안으로 PAT가 등장하였다.

웹서버/인터넷 : 100.0.0.100 (Kali_Linux)
외부주소 -> 내부주소
200.0.0.3->10.0.0.101 (Windows_7)
200.0.0.4->10.0.0.100 (Ubuntu_14.04)

[Ubuntu] 우분투 지에디트(gedit) 에서 스크롤 작동 안하는 문제 해결하기

jollaman999 — Sat, 21 Dec 2013 22:50:42 +0900

필자가 사용중인 우분투에서 라이브 CD로 지에디트를 이용할 때에는 스크롤이 작동하는데, 우분투를설치한 후 시스템 업데이트를 하고나면 지에디트가 스크롤이 안되는 문제가 있어 여간 불편한게 아니였다. (신기하게 sudo를 사용하여 루트권한으로 실행시에는 스크롤이 작동하였다.)

구글링을 해보니 GTK 3.8.x 버젼에서 Unity와 문제를 일으키는 것 같았다.

아래 Launchpad에서 Doug McMahon라는 개발자 분이 해당 Fix를 제공해 주셨다.

https://launchpad.net/~mc3man/+archive/test-scroll

자신의 우분투에 적용하는 방법은 다음과 같다.

먼저 Ctrl+Alt+T 를 눌러 터미널을 연다.

다음으로 sudo add-apt-repository ppa:mc3man/test-scroll 를 입력하여 해당 PPA를 추가해준다.

이제 sudo apt-get update && sudo apt-get upgrade 를 통해 소스리스트를 업데이트하고 업그레이드를 실행한다.

필자의 경우 다음 패키지들의 업그레이를 시도하였다.

gir1.2-gtk-3.0 libgail-3-0 libgtk-3-0 libgtk-3-bin libgtk-3-common libgtk-3-dev

업그레이드를 완료한 후 다시 지에디트를 실행하여 장문의 파일을 열어보면 정상적으로 스크롤이 작동하는 것을 확인 할 수 있다~!! ^^