저는 ISP에서 제공한 5개의 사용 가능한 외부 IPv4 주소와 함께 Fritz!Box 3490을 가지고 있습니다. Fritz!Box는 기존 DrayTek 2925를 대체합니다.
5개의 IP 주소 중 하나는 MX입니다. 따라서 우리는 해당 IP를 사용하여 포트 25에서 이메일을 보내고 받을 뿐만 아니라 모바일 장치가 이메일을 위해 포트 443을 통해 원격으로 연결할 수 있도록 허용합니다.
Fritz!Box를 사용하여 MX IP 주소로 전송된 트래픽을 Exchange 서버의 로컬 IP 주소로 전달할 수 있기를 원합니다. Exchange 서버의 현재 IP 주소는 10.1.1.0/24 범위에 있습니다. ISP에서는 Fritz!Box가 외부 IP 주소로 전송된 트래픽을 전달하려면 Fritz!Box가 공용 IPv4 서브넷을 알아야 하지만(알고 있음) Exchange 서버도 NIC에 추가되는 외부 IP 주소가 필요하다고 말합니다. .
이것이 맞나요? 애초에 서버를 이렇게 구성해야 합니까?
다른 서버의 경우 ISP에서는 NIC에 외부 IP 주소 중 하나를 추가해야 한다고 말합니다.
DrayTek이 수행하는 방식과 유사하게 EXTERNAL_IP:EXTERNAL_PORT로 전송된 트래픽을 INTERNAL_IP:INTERNAL_PORT로 전달하도록 지시할 수 있는 더 간단한 접근 방식이 있습니까?
답변1
ISP가 설명하는 방법은 라우터에 대해 더 간단합니다. 본질적으로 다음과 같습니다.라우팅서브넷과 나머지 세계 사이. 서버에 공개 주소를 직접 할당하는 것은 많은 데이터 센터에서 서버를 구성하는 방법입니다. 이는 IPv6의 표준 동작이며 IPv4의 표준이기도 했습니다.
DrayTek에서 사용하는 방법은 라우터에 있을 수도 있고 없을 수도 있는 DNAT(포트 전달)라는 추가 기능을 사용합니다. 존재하더라도 순수 라우팅과 동일한 정도로 하드웨어 가속이 되지 않을 수 있습니다(상태 조회가 필요하고 실제로 모든 패킷의 헤더를 다시 쓰기 때문에).
공용 주소 사용이 적고 본질적으로 여러 서버 간에 동일한 IP 주소를 공유할 수 있는 경우(주소보다 서버가 더 많은 경우) NAT가 더 간단해 보일 수 있습니다. 즉, 일부 포트를 하나의 포트로 전달하고, 더 많은 포트를 다른 포트로 전달하는 등의 작업을 수행합니다.
그러나 주소가 충분하거나 서비스 양이 많으면 직접 라우팅이 훨씬 더 간단해질 수 있습니다. 이는 서버에 자체 주소에 대한 직접적이고 완전한 제어권을 부여합니다. 그래서 구성한 후에한 번서버별로 더 많은 규칙을 추가하기 위해 라우터로 돌아갈 필요가 없습니다. 대부분의 홈 라우터는 TCP/UDP에 대한 전달 규칙 구성만 허용하지만 GRE, ESP, 6in4 또는 기타 고급 프로토콜은 구성할 수 없습니다. 직접 라우팅은 기본적으로 모든 것과 작동합니다.
Fritz!Box 3490은 DNAT 구성을 지원합니까? 부분적으로만.이 페이지에 따르면"액세스 허용 → 포트 공유" 아래에 있지만 선택할 수는 없습니다.외부IP 주소. 여기에 추가하는 포트 규칙이 무엇이든 라우팅된 모든 주소 또는 라우터 자체에 할당된 모든 주소(정확히 하나로 제한되는 것으로 추측됩니다)에 적용될 수 있습니다. Linux 기반 핵심 OS는 소스 주소 일치를 확실히 지원하지만 구성 UI에는 표시되지 않습니다.일부이유; 아마도 하드웨어 가속이 불가능하거나 의도적인 결정이었을 수도 있기 때문일 것입니다. 그러나 구성 UI에서 사용할 수 없는 경우 Fritz!Box DNAT는 다중 주소 사용 사례에 적합하지 않다는 사실은 여전히 남아 있습니다.
반면에 앞서 언급한 것처럼 단순 라우팅(ISP가 원하는 방식)에는 Fritz!Box의 추가 기능이 필요하지 않습니다. 문자 그대로 하나의 작업만 수행합니다.