NAS, Server

[Synology] 초간단 방화벽 설정 팁(해외IP 차단)

siane

8 min read

들어가며

나스를 사용하면 수많은 침입시도와 마주할 수 밖에 없습니다.
사실 나스가 문제가 아니고, 외부와 연결된 모든 장치는 침입시도를 받게 되는데.. 나스의 경우 침입시도 로그를 좀더 보기 편하게 보여주다보니 잘 보일 뿐입니다.

이 글에서는 정말 초보자용의 시놀로지 나스 방화벽 설정 방법을 안내합니다.

스크린샷의 나스는 DS920+이며, DSM 7.1.1-42962 Update 3 입니다. 이전 버전이라 할지라도 설정 자체는 큰 차이가 없습니다.

물론, 아래의 방화벽 설정을 따라한다고 해도 로그인 시도가 완전히 차단되거나 하는건 아니고, 좀더 안전하게 사용하시려면 여러가지 방법을 함께 사용해야 합니다.

이 글에서는 방화벽을 이용한 해외IP 접근 차단에 대해서만 설명합니다.

사용 환경

  • 사용 모델 : DS920+
  • DSM 버전 : DSM 7.1.1-42962 Update 3

방화벽 설정

방화벽 설정 순서는 아래와 같습니다.

  1. 나스가 위치한 내부 대역의 허용처리
    만약 내가 접속한 곳이 내부망이라면, 내부망에서는 허용처리를 해 주어야 편하게 사용할 수 있습니다.
  2. 한국 IP에 대해 허용처리
  3. 그 외 모든 IP에 대해 거부처리

반대로 모든 IP를 막고 한국만 허용할 수도 있는데.. 굳이 그렇게 할 필요는 없지요..

내부망 대역 확인

먼저 내부 IP 허용처리를 위해 내부망 IP대역을 알아봅니다.
IPTIME 공유기이고 설정의 변동이 없다면 192.168.0.x 대역을 사용합니다.
KT라면 보통 172.30.1.x 대역을 사용합니다.
SKB라면 192.168.45.x 대역일겁니다.
잘 모르겠다면, 아래 순서대로 따라해주세요.

  1. 윈도우키+R을 입력해 실행창을 띄우고 cmd를 입력합니다.
  2. ipconfig를 입력합니다.
  3. 이더넷 게이트웨이와 넷마스크 부분을 확인합니다.
ipconfig 실행화면

위에서 이더넷 어댑터 이더넷 부분을 보면, 내 IP 등의 정보가 나옵니다. 192.168.0.x를 사용하고 있네요. 이제 이 IP대역에 대해 허용처리를 해 줍니다.
여기서 기억할 부분은 IP의 세 번째 자리와, 서브넷입니다.

보안 강화를 위함이라면 사실 접속하는 장치에만 허용처리를 하거나, 특정 포트만 허용처리를 해주는 등 좀더 빡빡하게 해줘야 하지만, 이 글은 그런 용도는 아니니까요.
내부망 허용처리가 되지 않으면 아래 설정 후에 나스에 접속하지 못하는 사태가 벌어질수도 있습니다.

방화벽 설정을 시작해봅니다.

프로파일 생성

DSM에 관리자 계정으로 로그인한 후, 제어판 > 보안 > 방화벽 > 규칙 편집을 클릭합니다.
방화벽 활성화에 체크가 되어 있어야 합니다.

아래와 같은 화면이 나올거에요.

방화벽 규칙 설정

설명을 위해 새 프로파일을 만들었습니다. 생성 버튼을 클릭해봅니다.

특정 IP, 선택 클릭

서브넷 선택, IP에는 내 아이피의 3번째 자리까지 넣고, 마지막은 0을 넣습니다.
서브넷은 아까 확인한 서브넷 넣어주면 됩니다.
이렇게 하면 192.168.0.x를 사용하는 모든 장치에 대해 허용합니다. 즉..
192.168.0.1 ~ 192.168.0.255 에 대해 허용처리가 됩니다.
하단의 IP범위를 선택하고, 소스/시작 부분에 192.168.0.1을 넣고, 종료에 192.168.0.255를 넣어도 동일합니다.

이제, 이 글의 목적, 외국 IP 차단을 위해 한국의 IP에 대해 허용합니다.

한국 IP허용처리

소스 IP 부분의 ‘위치’에 체크하고, ‘선택’을 클릭합니다.

우상단의 검색창에서 ‘남한’을 입력하고 체크합니다.

허용 체크, 활성화 체크하고 확인을 누르면 ‘남한’에 대해 허용처리가 됩니다.

이렇게 하면 내부망에 대해 허용, 남한에 대해 허용처리가 됩니다.
그럼 허용하지 않은 나머지에 대해 거부를 해야하겠죠?

이번엔 더 간단해요. 모두/모두/거부 체크하고 확인누르면 끝.

최종 상태입니다.

방화벽 규칙은 위에서부터 아래로 적용됩니다.

접근한 IP가
내부망이라면 -> 허용
한국이라면 -> 허용
그 외 -> 접근 불가
이렇게 처리됩니다.
즉, ‘모두 거부’ 설정이 맨 위에 있다면 모든 IP에 대해 거부처리하므로 접속이 불가능합니다.

반대로 맨 위에 ‘모두 허용’ 처리를 한 후에 아래 이런저런 ‘거부’ 처리를 했다면, 아래 설정한 거부 처리는 허용됩니다.

다른 방법도 있습니다.

랜포트별 설정이라고 보면 되는데, 방화벽 설정페이지 우측에 ‘모든 인터페이스’라고 되어있어요.
이 부분을 눌러보면..

이렇게 랜포트 별 설정이 됩니다.

기본 설정은 모든 접근에 대해 ‘허용’ 입니다. 아까 앞에서 내부망에 대한 허용처리를 해 줬죠? ‘접근 거부’ 에 체크를 하면 설정되지 않은 조건에 대해 일단 ‘거부’합니다.

즉, LAN1에만 선이 꽂혀있다고 가정하는 경우, LAN1의 기본 설정을 ‘모두 거부’로 두고,

이렇게 외부의 ‘모두 거부’ 옵션이 체크 해제 되어있어도 동일한 효과가 나옵니다.

보통 이 옵션은 랜1은과 랜2의 망이 다르고, 접속해야하는(허용해야하는)서비스가 다른 경우에 설정할 수 있겠네요.

문제가 생길 수 있습니다.

시놀로지 나스의 경우, letsencrypt 인증시 webroot 방식을 쓰게 되므로, 외국(미국..?)이 차단되어 있을 때 인증서 갱신이 되지 않는 문제가 생깁니다.
시도해보지 않았지만, 퀵커넥트 역시 대만의 시놀로지 서버와 통신해야 합니다. 즉, 해외망을 모두 차단해버리는 경우 사소한 문제가 생길 수 있습니다.
이때는 사용하는 서비스에 대해 해외 허용처리를 해 주시면 됩니다.

이렇게 기본적인 해외IP 차단 설정은 완료되었습니다. 방화벽 설정에 도움이 되시길 바랍니다.

{{#is "post"}} {{/is}}