NAT 포워딩으로 내부 시스템 접근하기
집에서 회사 네트워크에 원격으로 접속하려고 NAT를 사용했다. 가능하면 VPN으로 접속하고, 내부 자원은 VPN 통해서만 접근하도록 설정하는 것도 권장되지만 내부 상황으로 인해 NAT 포트포워딩 구성 방식으로 내부망에 연결하는 우회 방법을 사용했다.
회사에서 사용하는 단말(ex. PC, 노트북 등)은 하나의 공인 IP를 가지고 내부적으로 사설 IP를 할당하여 사용한다. 집에서 회사 네트워크의 내부 작업환경(VM)에 접근을 하기 위해서 회사 공인 IP를 알아야 하며 공인 IP에 접근 했을 때, 내가 접근하려는 내부 IP의 시스템에 접근할 수 있도록 하려면 어떻게 해야할까.
📘 NAT란?
**NAT (Network Address Translation)**는
사설 IP 주소를 공인 IP로 바꿔주는 기술입니다.
일반적으로 회사 내부망에는 외부에서 직접 접근할 수 없는 사설 IP를 사용하기 때문에,
외부 접속을 위해서는 NAT로 연결을 열어줘야 합니다.
위의 설명을 토대로 NAT를 사용하면 외부 시스템에서 내부 시스템으로 접근하기 위해 IP를 내부 시스템에서 접근한 것처럼 우회할 수 있다. (반대도 마찬가지)
🧭 NAT 구성 방식 종류
| Static NAT (정적 NAT) | 특정 내부 IP ↔ 외부 IP 1:1 매핑 | 외부에서 내부 웹 서버에 항상 접속 가능하게 할 때 |
| Dynamic NAT (동적 NAT) | 여러 내부 IP → 외부 IP 풀 중 하나로 동적으로 매핑 | 일반적인 인터넷 접속 |
| PAT (Port Address Translation)= NAT Overload | 여러 내부 IP가 하나의 공인 IP + 포트 번호로 통신 | 사무실에서 여러 직원이 동시에 인터넷 사용하는 경우 |
| Port Forwarding(포트포워딩, NAT의 한 형태) | 외부에서 특정 포트로 접속하면 내부 특정 IP로 연결 | 외부에서 원격 데스크탑, 웹 서버, 특정 서비스 접속 |
NAT의 동작에는 여러 구성 방식이 있는데 이번엔 포트포워딩 기반 NAT 구성 방식(Static NAT)을 사용했다.
집 PC의 공인 IP를 1.1.1.1이라 하고 회사의 공인 IP를 2.2.2.2, 회사 내부 VM의 IP를 192.168.30.10 이라 하겠다. 회사 내부 VM에 ssh로 접근한다고 가정하면, 집에서는 회사의 공인 IP로 접근을 시도할 것이다. 그렇다면 2.2.2.2의 공인 IP에 접근을 한다고해도 VM의 IP인 192.168.30.10에는 어떻게 접근을 할까 ? 여기서 NAT를 이용한다. 1.1.1.1의 출발지 IP로 온 요청은 192.168.30.10번 IP로 전달해줄 수 있도록 방화벽의 NAT 정책에 등록을 하면된다.
📋 NAT 정책
| 변환 전 출발지 IP | 1.1.1.1 |
| 변환 전 목적지 IP | 2.2.2.2 |
| 변환 전 서비스 포트 | 11111 |
| 변환 후 출발지 IP | org (원본 주소 유지) |
| 변환 후 목적지 IP | 192.168.30.10 |
| 변환 후 서비스 포트 | 22 (SSH) |
이렇게되면 집에서 2.2.2.2 IP에 11111번 포트로 접속을 하게되면 이 요청은 192.168.30.10번 IP에 22(ssh)의 접속을 하는 것처럼 동작한다.
이렇게 설정을 하면 보통의 경우엔 접근이 되지만 따로 방화벽 정책을 설정해주는 것이 NAT 정책만 등록하는 것 보다 보안적인 측면에서 낫다.
📋 FW 정책
| 출발지 IP | 1.1.1.1 |
| 목적지 IP | 192.168.30.10 |
| 서비스 포트 | 22 |
| 허용 여부 | allow |
🧠 마무리 & 팁
- VPN이 설정되지 않는 상황에서도 NAT를 이용하면 외부 접속이 가능
- 다만 보안에 취약할 수 있으니, 외부 포트를 열어둘 때는 꼭 방화벽과 인증 등을 병행 필요.
- 고정 IP가 없다면 DDNS를 활용하면 좋다고 함
