1. 공식 마케팅 활동이 아닌 무허가 바이럴 마케팅 활동 적발 시 즉각 회원 권한 박탈 및 닉네임 공개
  2. 저작권법에 따라 대한민국 언론/매체/커뮤니티 기사 일부/전문 게재 금지하며 오직 URL 링크만 허용
  3. 개인 유튜브 채널, 방송 등 홍보성/수익성 유튜브 영상 업로드 금지
  4. 신고 사유에 포함되지 않음에도 감정적/무분별한 신고 기능 사용 시 제재
  5. 국내 특정 업체를 대상으로 무분별한 칭찬/비난글 금지, QM 판단하에 사실관계 수준에 따라 제한적 허용

시놀로지 나스 외부접속관련 질문입니다.

무소속 8 455 1

안녕하세요 초보 인사드립니다.

u+ 기가인터넷 가입시 받은 공유기를 사용중이고 여러 사용기에서 보이듯 포트포워딩이 제대로 안먹히는경우가 많아

슈퍼dmz로 열어두고 사용중이며 사용하는 시놀로지는 218j 모델입니다.


포트는 슬슬 변경하려고 생각은하고있지만 현재는 그냥 열려있는 dsm용 http 5000 https 5001 (https 사용법은 아직모릅니다)

webdav 5005 / 5006 이렇게 사용중입니다.


현재 스마트폰으로도 접속이 잘되고 외부에서 접속에 문제있는 상태는 아닙니다만


회사네트워크에서 접속할때는 ???.synology.me:5000 이건 접속이 전혀 안되고 퀵커넥트로만 접속이 가능한데요

이건 5000포트를 회사에서 막아두었기 때문인가요?


회사에서 netstat으로 확인해서 열려있는포트를 찾기는 했는데 이 포트번호를 만약 사용한다고 하면

1. dsm에서 외부포트를 그 포트(회사에서 열려있는포트)로 변경 -> 내부포트변경이 필요한건지는 잘 모르겠습니다. 외부/내부포트 개념을 아직 못잡아서 동일하게 사용중입니다.

2. 집의 공유기에서 그 포트번호를 포트포워딩(현재는dmz라 불필요)

3. ????.synology.me:변경된포트 로 회사에서 접속


이런방식이 되는건가요?


접속이 가능하다고 하더라도 네트워크 부서에서 문제삼을수 있어보이면 사용은 굳이 안할것 같긴합니다.

회사네트워크가 관리가 되고있는경우를 생각하면 퀵커넥트 하나만으로도 시놀로지 정품을 사야되는것 같긴하네요.


페이스북에 공유 트위터에 공유 구글플러스에 공유 카카오스토리에 공유 네이버밴드에 공유 신고

작성자

현재 레벨 : 지구 무소속  회원
95 (91.8%)

등록된 서명이 없습니다.

    댓글 : 8
컴덕석사 2019-08-14 16:48:36
 사이다!
  글만 읽고 지나가려다가 답변남깁니다. 질문내용을 읽고 이해한 바로는 가정에 설치된 나스서버가 외부에서 접속가능하나 회사 네트워크를 통해서 접속을 시도하면 안된다고 이해하는데요.

질문내용을 정학히 이해하였다면 질문자님과 앞서 답글을 작성하신 답변자분께서 명확히 하셔야할 부분이 있을 듯 합니다.
서버가 원격지에 설치되어 있고, 회사 네트워크에서 클라이언트가 접속을 시도할 경우 회사 네트워크 관점에서
접속을 시도하는 패킷은 아웃바운드 규칙에 적용됩니다. 쉽게 말해서 외부로 나가는 패킷이란 얘기죠.
전산팀이 존재하는 회사 네트워크의 경우, 인바운드 규칙에서 80포트를 포함하여 흔히 사용되는 Well-known 포트를
막아놓습니다. (외부 공격으로부터 접속시도 및 권한획득, 취약점 분석을 방지하기 위함)
반대로 질문자님의 경우에 해당되는 아웃바운드 규칙에서는 막아놓는 경우가 거의 없으나, 제한적으로 관리하기 위해
업무상 사용되는 특정 포트를 제외하고 막아놓는 경우도 있습니다. (네트워크 관리자 및 회사보안정책에 따라)

퀵커넥트를 통해 접속이 이루어지는 이유는 프로토콜(HTTP or HTTPS)의 포트번호(80 or 443)를 사용하기때문에, 방화벽 아웃바운드 규칙에 걸리지 않고 전송되는겁니다. 인바운드와는 관계가 없습니다..

netstat 명령어는 단순히 호스트의 응용프로그램에서 사용하고 있거나 이미 사용되었던 포트번호를 나타냅니다.
열려있는 포트번호를 찾기 위해 해당 명령어로 확인해보신 것 같으나, 그러실 필요 없이 DSM내에 SSL 적용하여
443포트를 사용하시는 것이 좋을 듯 해보입니다. (이 경우 별도 포트번호 기재없이 HTTPS로 접속이 이루어집니다.) SSL이 아닌 일반 HTTP 80포트를 사용할 경우 접속은 이루어지겠지만 DMZ 설정과 함께 보안이 매우 취약해집니다.

또한, 공유기에서 DMZ 기능을 사용하는 것은 보안 문제가 나타날 수 있습니다.
포트포워딩이 동작안할경우 원인은 다음 중 하나일 것입니다.
1) 사용가 제대로된 설정을 하지 못한 경우
2) 공유기 자체적인 문제로 인해 포워딩을 못해주고 있는 경우
3) 네트워크 구성상 공유기 앞단에 별도의 장비가 존재하는 경우
Freeproces…  
포트포워딩에서 내부포트를 헤놀로지 포트인 5000, 외부포트를 80으로 바꿔서 포트포워딩 하거나
아예 시놀로지 NAS의 포트를 80번으로 바꿔주시면 접속은 되실겁니다.

회사네트워크의 경우에은 80 포트같이 범용 포트를 제외하면 다 막아뒀을거에요.
무소속  
[@Freeprocessor] 5000 ddns 열어놓은것도 접속이 안되네요 인터넷은 그냥되는데 오히려 어떻게 막아놓은건지 신기합니다..
Freeproces…  
[@무소속] 인터넷은 보통 80 포트고 시놀로지는 5000이라서 접속 안되는게 당연하실겁니다.
회사는 방화벽 때문에 다 막아두거든요. 80포트같은 범용포트 제외하구요,,,
무소속  
[@Freeprocessor] 아하 그럼 80포트 한번 열어서 해보겠습니다 5000도 범용이라고 생각했는데 그게 아니었군요. 감사합니다 ㅠ
컴덕석사  
글만 읽고 지나가려다가 답변남깁니다. 질문내용을 읽고 이해한 바로는 가정에 설치된 나스서버가 외부에서 접속가능하나 회사 네트워크를 통해서 접속을 시도하면 안된다고 이해하는데요.

질문내용을 정학히 이해하였다면 질문자님과 앞서 답글을 작성하신 답변자분께서 명확히 하셔야할 부분이 있을 듯 합니다.
서버가 원격지에 설치되어 있고, 회사 네트워크에서 클라이언트가 접속을 시도할 경우 회사 네트워크 관점에서
접속을 시도하는 패킷은 아웃바운드 규칙에 적용됩니다. 쉽게 말해서 외부로 나가는 패킷이란 얘기죠.
전산팀이 존재하는 회사 네트워크의 경우, 인바운드 규칙에서 80포트를 포함하여 흔히 사용되는 Well-known 포트를
막아놓습니다. (외부 공격으로부터 접속시도 및 권한획득, 취약점 분석을 방지하기 위함)
반대로 질문자님의 경우에 해당되는 아웃바운드 규칙에서는 막아놓는 경우가 거의 없으나, 제한적으로 관리하기 위해
업무상 사용되는 특정 포트를 제외하고 막아놓는 경우도 있습니다. (네트워크 관리자 및 회사보안정책에 따라)

퀵커넥트를 통해 접속이 이루어지는 이유는 프로토콜(HTTP or HTTPS)의 포트번호(80 or 443)를 사용하기때문에, 방화벽 아웃바운드 규칙에 걸리지 않고 전송되는겁니다. 인바운드와는 관계가 없습니다..

netstat 명령어는 단순히 호스트의 응용프로그램에서 사용하고 있거나 이미 사용되었던 포트번호를 나타냅니다.
열려있는 포트번호를 찾기 위해 해당 명령어로 확인해보신 것 같으나, 그러실 필요 없이 DSM내에 SSL 적용하여
443포트를 사용하시는 것이 좋을 듯 해보입니다. (이 경우 별도 포트번호 기재없이 HTTPS로 접속이 이루어집니다.) SSL이 아닌 일반 HTTP 80포트를 사용할 경우 접속은 이루어지겠지만 DMZ 설정과 함께 보안이 매우 취약해집니다.

또한, 공유기에서 DMZ 기능을 사용하는 것은 보안 문제가 나타날 수 있습니다.
포트포워딩이 동작안할경우 원인은 다음 중 하나일 것입니다.
1) 사용가 제대로된 설정을 하지 못한 경우
2) 공유기 자체적인 문제로 인해 포워딩을 못해주고 있는 경우
3) 네트워크 구성상 공유기 앞단에 별도의 장비가 존재하는 경우
Freeproces…  
[@컴덕석사] 답변 대박이십니다 ㅎㅎ
무소속  
[@컴덕석사] 안녕하세요 답변감사드립니다.
덕분에 알게된게 너무많습니다. 안그래도 제가 잘 모르던 개념인데 외부에서 접근할 수 있도록 열어주는 포트포워딩 개념과 안에서 해당 포트로 접속하는게 어떻게 다른지 대충 이제야 감이 오는 것 같습니다. (회사네트워크처럼 폐쇄적인 네트워크를 겪어보지 않았으면 이해를 아예 못했을것같습니다.)
제가 알아보니 회사에서도 외부랑 연결이 잦은 전용 채팅프로그램등은 443으로 열어두었더라구요.(관계는 없을것같습니다) 다만 dsm 설정에서 443은 퀵커넥트로 사용하기위해 잡아놓아서 그런것인지 "시스템용으로 예약되어 사용할수없는 포트입니다"라는 멘트를 보고 임의적으로 5자리 숫자를 https에 따로 잡고 다시 ddns주소 (????.synology.me:222222) 이것으로 접속해서 성공했습니다. 아무래도 위험포트는 다 막아두었지만 아주 타이트하게 접속을 다 잡아두진 않은 것 같습니다.

dmz같은경우에는 유플러스 사용하시는분들 검색하면서 동일한 문제가 있으신분들이 많은데, 이유가 분명히 공유기를 하나만 사용하고 있음에도(아파트가 아니라 모뎀이 방안에 있습니다) 공유기?모뎀? 이 두개라고 확인하는 경우더라구요. 제가 보았던 게시물에서는 통신사에 확인해서도 해결을 못해서 결국 슈퍼dmz로 하셨다는걸 보고 저는 그냥 포기하고 바로 그렇게 사용하고있습니다.
다만 지금 ac56r인지 지인이 쓰던걸 하나 받아와서 기본으로 받은 공유기랑 바꿔서 포트포워딩을 다시해보려고 생각하고있습니다. 이때도 제대로 되지 않으면 좀 근본적인 문제라 어쩔수 없는것일 수도 있을것같습니다.

저같은 경우그래서 보안 셋팅은 분당?초당? 5회 접속 이상 전부 아이피 무제한 차단으로 설정하고 차단된 아이피 국가들은 전부 막아두고있습니다. 중국/러시아랑 몇개 더있는것같습니다. 현재는 주기적으로 사용량 체크중인데 문제는 없어보이기는 합니다.

컴덕석사님덕분에 많이 배워갑니다. 답변 감사드립니다.
컴덕석사  
[@무소속] 별로 많지 않은 이야기를 길게 답변드렸는데, 도움되셨다니 다행입니다.
포트포워딩은 특별히 어려운 개념이 아닙니다. 다음과 같이 처리되니 참고하시면 될 듯 합니다.
클라이언트(외부포트를 담은 패킷전송) → WAN(광역네트워크) → 공유기(포워딩테이블 확인) → 해당 외부포트와 맵핑되는 로컬 IP주소를 가진 호스트(서버)에 로컬포트번호를 담아서 패킷 전달 → 호스트는 로컬포트번호를 확인하여 해당 애플리케이션(DSM 관리자 웹)으로 처리

다음과 같이 설정하시면 별도의 포트를 기재할 필요 없이 SSL(443) 보안세션으로 연결됩니다.
(* DSM내에서 전자서명 인증서 발급 및 SSL 보안 설정하셔야 https 접속이 가능합니다.)
1) 접속 주소 : https://나스 DDNS 도메인
2) 공유기 포트포워딩
- 로컬호스트 IP 설정 : NAS의 로컬 IP주소
- 외부포트 설정 : 443
- 로컬포트 설정 : 5001
3) 호스트(NAS 서버)의 응용(DSM 관리자웹)의 포트 설정 : 5001

그리고 유플러스 기가인터넷 상품에서 MAC주소(기기) 인증이 이루어질 수 있어 로컬 최상단에 사제 공유기(미인증기기) 설치시 100Mbps로 동작할 수도 있습니다. 상세한 설명이 없어 앞단에 설치된 장비가 무엇인지 모르겠으나 MAC주소 인증이 들어가면 상단에 설치된 장비에서 인증이 이루어져야 제속도를 낼 수 있습니다.
분류 제목
페이스북에 공유 트위터에 공유 구글플러스에 공유 카카오스토리에 공유 네이버밴드에 공유