6. OOPS Firewall Transparent proxy - masq.conf

iptables의 masquerading을 간편하게 제공한다. masquerading 을 이용해 transparent proxy
(투명 프락시)를 이용한 Source NAT 구현이 가능한데, 이는 쉽게 인터넷 공유를 할 수 있다
는 의미도 된다.

 [root@bbuwoo oops-firewall]$ cat /etc/oops-firewall/masq.conf

   ##########################################################################
   # Masquerading 을 위한 설정
   #
   # 현재 1 개의 WAN 과 1 개의 Local LAN 만 지원이 가능하다. interface.conf
   # 에서 MASQUERADE_WAN 과 MASQUERADE_LOC 를 지정해 주어야 하며, 지정이 안
   # 되어 있으면 사용하지 않는 것으로 간주가 된다.
   #
   # 또한, Bridge mode 와 같이 사용하는 경우, MASQUERADE_LOC 는 Bridge 설정
   # 의 BRIDGE_LANDEV 와 동일한 값을 가질 수 없다.
   #

   Ethernet Device 라는 것은 속칭 LAN 카드라고 하는 것을 지칭 한다. 정확한 용
   어로는 NIC (Network Interface Card 의 약자이다) 라고 하며, LINUX 에서 디바
   이스는 장치를 의미하므로 Ethernet 즉 네트워크에 사용되는 장치 NIC를 의미하
   는 것이다. 현재 oops-firewall v4.0 에서는 NIC 가 2 개일 경우 까지만을 설정
   하고 있으며 그 이상일 경우에는 외부망, 즉 Internet 과 연결된 NIC 는 최소한
   eth0 또는 eth1 에 연결이 되어 있어야 한다. (eth 는 Linux 에서 사용되는 NIC
   의 장치 이름이다.)  물론 외부망이 eth0 과 eth1 중에 하나라면 나머지 사설망
   역시 eth0 과 eth1 둘중에 하나여야 한다.
   
   ##########################################################################
   # Masquerading 사용여부
   ##########################################################################
   #
   # 사용     : 1 or true or yes
   # 사용안함 : 0 or false or no
   #
   MASQ_USED = false

   공유 여부를 1 또는 0 으로 설정을 한다. oops-firewall 4.2.0 부터는 참거짓을
   설정하는 지시자들은 모두 1/true/yes 나 0/false/no 로 설정을 할 수 있다. 공
   유를 할 필요가 없는 호스트라면 0/false/no 중의 한 값을 설정하도록 한다.
 
   ##########################################################################
   # 외부로 나갈 IP address 를 지정
   ##########################################################################
   # 이 부분의 설정은 MASQ machine 에 여러개의 ip address 가 존재할때 설정이
   # 가능함
   #
   # 이 값을 지정안했을 경우에는 MASQ_DEVICE 에 지정한 nic 의 ipaddress를 자
   # 동으로 검출 하여 적용을 함. 이 값은 MASQ_DEVICE 에 지정되어 있는 IP주소
   # 를 사용하지 않을경우에 지정을 하도록 함. ip aliasing을 이용하는 경우 그
   # 룹으로 지정을 할수도 있다.
   #
   # RULE:
   #       SRCIP[:Port]|NATIP[|DSTIP[:Port]]
   #
   #       SRCIP - NATTING을 할 출발지 사설 IP 주소.
   #               range format 사용 가능. filter.conf Rules 참조
   #       NATIP - NATTING을 할 IP 주소
   #               ethernet device로 설정이 되어 있는 IP만 가능
   #       DSTIP - 목적지 IP 주소. range format 사용 가능
   #               range format 사용 가능. filter.conf Rules 참조
   #               생략 가능하다.
   #
   #       Port
   #             . Port 지정시에 Protocol을 명기해야 한다.
   #               포트 지정시에 포트 번호 앞에 T(TCP) 또는 U(UDP)와 같이 지
   #               정할 수 있다. 지정하지 않을 경우 기본값은 TCP 이다.
   #             . Protocol 지정 시에 SRCIP의 포트에 지정된 protocol이 DSTIP
   #               의 포트에 지정된 것 보다 우선한다.
   #             . Port가 지정이 되지 않을 경우에는 all protocol이 적용된다.
   #
   # 설정시 주의할 점은 큰 네트워크가 뒤로 지정이 되어야 한다는 점이다. 예를
   # 들어 출발지가 0인 것이 1.1.1.1 인 것보다 앞에 지정이 되면 출발지 체크에
   # 서 0에 적용이 되어 뒤에 지정한 것들이 적용이 되지를 못한다는 의미이다.
   #
   MASQ_MATCH_START =

   이 옵션은 2.2 에서 새로 추가되어진 부분이다. 아마 회사의 사내 PC들을 OOPS
   Firewall을 이용하여 방화벽으로 감쌌을 경우 외부로 나가는 IP 주소들이 하나
   로 제한 되는 것을 극복해 보기 위해 추가 되었다.

   예를 들어 A 라는 PC 가 외부에서는 1.1.1.1 로 인식이 되어 진다면 B 라는 PC
   역시 1.1.1.1 로 인식이 되어진다. 하지만 공인 IP 주소가 1개 이상 있을 경우
   에는 MASQ machine 에서 IP Aliasing 으로 할당을 한다음 여기서 사설 IP와 공
   인 IP를 매치를 시킬수가 있다. 물론 1:1로 매치도 가능하고 공인 IP 여러개를
   random 하게 매치 시키는 것도 가능하다. 그럼 설정 예를 들어 보자.

   MASQ_MATCH_START = 192.168.1.1|211.111.111.1

   이라고 지정을 했을 경우 사설 IP 192.168.1.1 을 가진 컴퓨터는 외부에서
   211.111.111.1 로 인식이 되어지는 것이다. 또 다른 예로

   MASQ_MATCH_START = 192.168.1.1|211.111.111.1 \
                      192.168.1.2|211.111.111.2 \
                      0|211.111.111.3

   과 같이 지정을 했다고 한다면 192.168.1.1 과 192.168.1.2 는 뒤에 지정한 공
   인 IP주소로 외부에서 인식이 되어지며 나머지 사설 IP주소들은 211.111.111.3
   으로 인식이 되어진다. 또 한가지는

   
   MASQ_MATCH_START = 192.168.1.1|211.111.111.1-30

   과 같이 지정을 할수가 있다. 이 경우는 192.168.1.1 은 211.111.111.1-30번까
   지 random 하게 외부에서 인식이 된다.

   IP를 범위로 지정하는 것은 fileter.conf의 주석에서 IP주소 표현 형식을 참조
   하도록 한다.

 [root@bbuwoo oops-firewall]$

다음은 포트 포워딩 설정을 보도록 하겠다.