예...
항상 나오는 말이고 다른분들도 공감하실테지만
새로 유입되신분들은
예전의 블로그 글만 보고 단순히 차단만 하거나 포트변경을 하거나...
그렇게만 설정해서 로그인 시도를 하는것에 대한 불안감이 없지않은게 사실입니다
이 질문은 항상 새로오시는분들이 질문하시고 잘못되었다기보다 옛날의 글들을 보고 설정하시는분들이
대다수일테니 계속 언급되는건 어쩔수없죠 따라서 이미 능숙한 고수분들도 이런 반복성 질문에
역방향 프록시를 이용하라는 언급을 계속 해주셔야 합니다.
요약하자면
이런 상황에서 역방향 프록시는 선택이 아닌 필수입니다. FTP는 사용하지않는것을 권장합니다.
1. admin 계정 비활성화
2. 해외ip차단
3. 역방향 프록시 활성화 ftp 비활성화.
4. ssh는 내부에서만 접근
역방향 프록시가 무엇인지 쉽게 이해시켜 드려보겠습니다
역방향 프록시의 요점은 ip:포트 접근 자체를 원천봉쇄하는겁니다
접속은 오직 2차 도메인:443으로만 접근가능하게 셋팅합니다.
더 쉽게 말하자면
클리앙.kr:5000 이라는 서비스를
목적지
main.클리앙.kr (443) 으로 접속할수있게 설정.
역방향 프록시함으로써
외부포트에 5000번을 열지 않고서도 클리앙.kr:5000 접속이랑 동일하게 되는겁니다.
(443과 80은 http기본 포트이기때문에 생략가능)
이런식으로 굳이 포트를 쓰지않고 도메인으로만 접속가능하게 하면 포트를 외울 이유도 없을뿐더러.
포트포워딩도 필요가 없습니다.
외부에서 접속하려면 2차도메인을 알지않고는 접속이 불가능하기때문에 역방향 프록시로 내부 서비스를 연결해주는겁니다.
포트를 바꾸든 말든 어차피 포트스캐닝하면 다 보이기때문에 포트를 바꾸니 뭐니 의미가 없습니다
원천적으로 역방향 프록시를 통해 2차 도메인을 알지않고서는 접근 불가능하게 막는것입니다
FTP의 경우에는.. FTPS를 통해 https로 접근을 유도할수있으나 역방향 프록시를통해 포트를 변경하는것은 불가능하므로
WEBDAV를 권장드리는 이유입니다.
더군다나 요즘 이런류의 해킹시도는 vps에서 이루어지는 경우가 많다고 실제 연구보고사례도 있는만큼
ip차단만큼 별 의미가 없는 방책도 없을것입니다
1. 포트변경 의미없다 포트스캔하면 바로나온다
2. ip차단은 일시적인 해결책일뿐이다 가끔 수많은 ip차단 리스트를 공유하시는분들이 있는데 죄송하지만 정말 별 의미없습니다.
3. 국가 차단은 기본
4. os 보안 업데이트는 최신으로 유지하자
입니다
제 이전글을 보고 직접 설정해보시고 글을 쓰신 꽈보님이 계십니다
https://www.clien.net/service/board/cm_nas/16394001CLIEN
참고하셔서 다들 안전하게 NAS이용하실수있음 좋겠습니다.
제 글을 보고 불편하신분들이 있다면 죄송합니다.
정 열고싶다면 vps처럼 인증키 파일 가지고 열어두셔야해요
도중에 와일드카드 인증서를 추가로 갱신했네요.
들어오면서 들고있는 주소를 봅니다. 내부에 해당 주소로 갈 곳이 정해져 있는지 확인해서 있으면 보내줍니다.
abc.example.com을 localhost의 8888포트로 보낼수도 있고, 192.168.0.1의 80포트로 보낼수도 있습니다.
ip무작위대입에 포트스캔해서 시놀로지 응답하면 이거저거 다찔러보는건데..
80,443을 최대한 쓰되, 어쩔 수 없이 열어야 하는 포트는 열고(drive의 통신포트처럼요) ssh는 vpn이나 화이트리스트 방식으로 접근하면 되구요.
로그가 더 깔끔해지고 훨씬 편리한데 어렵게 생각하시더라구요..
https://www.clien.net/service/board/cm_nas/16394001CLIEN
1.80포트랑 443포트는 기본적으로 http 와 https 인데
역방향 프록시와 서브도메인을 사용하시면 공유기에서 해당 2개의 포트만 열면 됩니다.
그리고 서브도메인을 정확히 알지 못할 때 접속을 하지 못하기 때문에
현재 유행하는 찔러보기식 봇 해킹 시도는 안들어옵니다. 그리고 서브도메인 경우의 수는 무한대입니다.
2.역방향 프록시 설정에서 서브도메인으로 접근했을 때
로컬호스트의 해당 포트번호로 대상을 지정하면 공유기 단에서는 역시나 80이나 443 포트만 열면 됩니다.
콜론을 한개만 사용해서 "rsync -avh 서버:서버폴더 local_dir" 로 하게 되면 ssh 로 로그인해야 하고요.
저는 QNAP 아니고 OMV6에서 Rsync 서버를 돌리고 있는데, 사용하는 모듈 두개를 설정해두고 콜론두개 찍는 방법으로 873포트만 열고 사용중입니다. (이 포트도 공유기에서 포트포워딩 사용해서 변경할 수 있습니다. )
참고로 저는 OMV에서 공유모듈 설정하고, 원격지 시놀 나스에서 아래와 같은 명령어로 땡겨옵니다.
rsync -avh --delete user_id@omv_server_ip::Module /local/dest/directory
핵심은 서버쪽에 Modue을 미리 설정해두어야 하고, 모듈이름으로 접속할때는 콜론을 두개 :: 찍는 것입니다.
이렇게 하면 22번 포트 열지 않아도 됩니다.
서버에 등록된 모듈은 /etc/rsync.conf 에 기록되어있고요.
잘, 해결하시길 바라겠습니다.