Profile picture

[네트워크] Destination IP NAT 이해하기

JaehyoJJAng2023년 06월 07일

개요

Destination IP NAT를 사용하는 이유는 목적지 IP를 변경하여 통신을 원활하게 하기 위함이다.

다시 말해 Destination IP NAT를 실시하지 않으면 제대로 통신이 될 수 없음을 의미한다.

Source IP NAT와는 다르게 Destination IP NAT는 NAT Device의 인터페이스 IP를 거의 사용하지 않는다.

다시 말하면 이미 정해둔 IP 리스트를 보유한 상태로 해당 IP로 변환을 실시한다.


Source IP NAT야 목적지가 어떻든 외부와의 통신을 원활하게 하기 위한 목적이 가장 크므로 그에 걸맞는 IP면 아무래도 상관이 없다.

그래서 인터페이스 IP든 IP Pool이든 적당한 IP로 변환한다.

Destination IP NAT는 말 그대로 목적지의 IP를 변환하는 만큼 Destination IP를 변환하는 대상이 명확히 구분되어야 한다.

무턱대고 적당한 IP로 변환했다가는 목적지를 잃어버릴 수 밖에 없다.

한 개의 IP로 2개의 목적지를 가리킨다면 어느 곳으로 가야할 지 알 수가 없을테니깐.


Destination IP NAT에 사용되는 IP

  • Destination IP NAT는 변환되는 대상 IP를 명확히 구분해야 한다.
  • Source IP NAT와는 다르게 변환 대상 IP를 중복하여 써서는 안된다.

Source IP NAT에서는 변환 대상 IP를 Interface IPIP Pool 로 구분하여 설명헀지만

Destination IP NAT에서는 일대일 변환일대다 변환 으로 나누어 설명하려고 한다.

앞서 애기한 것처럼 Destination IP NAT는 목적지를 변환해야 하는 이유가 명확해야 하는 만큼 대상 IP를 중복하여 써서는 안된다.

2개의 목적지에 대해 1개의 변환 IP를 사용한다면 어느 목적지로 가야하는지 구분할 수가 없다.


1. 일대일 변환

먼서 살펴볼 것은 일대일 변환이다.

일대일 변환은 한 개의 IP를 한 개의 또 다른 IP로 변환함을 의미한다.

앞서 몇 번이나 강조한 것처럼 Destination IP NAT는 목적지가 명확해야 한다.
image

위 그림은 목적지 iP를 일대일 변환하는 것을 표현한 그림이다.

외부 서버(출발지 IP: 125.200.50.100:80)가 공유기를 통해 사용자 1(10.0.0.2/24)과 사용자 2(10.0.0.3/24)에 각각 접속하고자 할 경우, 접근은 공유기로 하지만 목적지의 변화가 필요하다.

사용자 1과 사용자 2는 공인 IP가 아닌 사설 IP를 사용하기에 Destination IP NAT가 필요하다.

따라서 공인 IP 하나에 사설 IP 하나를 할당하여 접속할 수 있다.

다시 말해 일대일 변환을 시킨다고 볼 수 있는 것이다.

<br.

하지만 가정의 경우, 한 개의 공인 IP만을 갖는 경우가 대부분이기 때문에 아래와 같은 Port Forwarding(포트 포워딩) 기능을 사용하여 접속한다.

Source IP NAT 문서에 본 것처럼 포트를 이용하여 목적지를 구분 짓는 방법이다.

포트 포워딩을 사용하면 한 개의 공인 IP를 사용하여 다수의 사설 IP를 구분 지을 수 있게된다.
image


Destination IP NAT 변환 사례

1. 내부 네트워크 접속

해당 사례는 공인 인터넷에서 사설 네트워크(혹은 사설 IP로 이루어진 DMZ)로의 접속이다.

공인 인터넷에서 사설 네트워크의 특정 단말에 접속하고자 할 때 많이 사용된다.

하지만 공인 IP는 공인 인터넷망에서 사용하는 주소이므로, 목적지가 공인 IP인 상태에서는 사설 네트워크에서 사용이 불가능하다.

그러므로 목적지를 공인 IP에서 사설 IP로 바꿔줘야 한다.
image

위 그림에서는 서버가 공유기 내부의 사용자 PC로 먼저 접속을 요구하는 것을 볼 수 있다.

Source IP NAT에서는 사용자가 서버에 먼저 접속 요청을 하기 때문에 서버 Response가 공유기로 돌아왔을 때에는 이미 Session이 생성되어 있어 자연스럽게 Destination IP NAT가 되었었다.

하지만 반대의 경우에는 서버가 먼저 요청을 하는 것이기에 Destination IP NAT를 실시하여 내부로 접속해야 한다.


2. DMZ

image
기업에서는 사설 IP로 운영하는 내부 네트워크뿐만 아니라 DMZ(Demilitarized Zone) 네트워크 또한 존재한다.

DMZ 네트워크란 내부 네트워크뿐 아니라 외부 네트워크에서도 자유롭게 접속 가능한 네트워크를 의미한다.

다시 말해 외부 네트워크와 내부 네트워크의 경계를 의미하는 것이다.

이 경계(DMZ)에서는 보통 외부에서 접속 가능한 서비스들이 존재한다.

SSL VPN이나 웹 하드처럼 외부에서 접속할 수 있는 솔루션/장비들이 DMZ에 위치한다.


DMZ 네트워크가 공인 IP로 이루어져 있다면 NAT가 필요 없겠지만 사설 IP로 이루어진 DMZ 네트워크라면 반드시 Destination IP NAT를 실시해야 한다.

보통 DMZ 네트워크에 수용된 솔류션의 특성에 맞추어 Destination IP ANT를 적용하고 필요한 Port를 허용한다.

가령 SSL VPN이 DMZ Network에 수용되어있고 사설 IP를 할당 받았다면 공인 IP를 목적지로 잡고 들어오는 패킷의 목적지 IP를 SSL VPN의 사설 IP로 Destination IP NAT를 실시하고 HTTPS Port(443)를 허용하면 될 것이다.


출처

Loading script...