LAN에 있는 다른 PC의 SSH 및 HTTP 요청을 수락하지만 Comcast 게이트웨이의 반대편에서는 연결할 수 없는 Ubuntu 18.04 서버가 있습니다.
이더넷을 통해 서버와 동일한 Comcast 게이트웨이에 물리적으로 연결된 Windows 10 PC가 있고 Windows 10 PC에서 Putty, Filezilla 및 Chrome(웹 브라우저의 IP 주소 또는 DNS 도메인 이름 사용)을 사용하여 액세스할 수 있습니다. 서버와 서버의 웹사이트. 이 경우 Windows 10 PC의 브라우저는 LAN을 통해 HTTPS로 리디렉션됩니다! 그러나 이것은 모두 사기입니다! Verizon 네트워크에 있고 LAN WiFi에 연결되지 않은 휴대폰을 사용하면 JuiceSSH를 사용하거나 Chrome의 IP 주소 또는 도메인 이름을 사용하여 서버에 액세스할 수 없습니다. DHCP 또는 고정 IP 설정은 LAN 외부 액세스에 영향을 주지 않습니다. 서버에서 DHCP를 사용하면 여전히 LAN에 있는 다른 컴퓨터의 IP 주소에만 액세스할 수 있습니다.
UFW를 비활성화했습니다. Comcast Gateway 방화벽을 비활성화했습니다.
무엇이 잘못될 수 있나요? 문제를 어떻게 진단합니까?
답변1
네트워크 주소 변환(또는 줄여서 NAT)이 적용되는 것 같습니다.
서버의 IP 주소가 다음 범위 중 하나에 속합니까?
- 10.0.0.0 .. 10.255.255.255
- 172.16.0.0 .. 172.31.255.255
- 192.168.0.0 .. 192.168.255.255
- 100.64.0.0 .. 100.127.255.255
그렇다면 NAT 뒤에 있는 것입니다. 이는 나가는 연결을 제대로 설정할 수 있지만 인터넷에서 들어오는 연결은 몇 가지 추가 단계를 수행하지 않으면 서버에 대한 경로를 찾을 수 없음을 의미합니다.
IP 주소의 수는 제한되어 있으며 모든 인터넷 사용자가 전 세계적으로 라우팅 가능한 공개 IP 주소를 갖기에는 충분하지 않습니다. 이것이 바로 서비스 제공업체가 할당된 주소 범위를 더욱 확장하기 위해 NAT를 구현하는 경우가 많은 이유입니다. (IP 주소의 부족은 더욱 심해질 것이므로 IPv6가 점차 보편화되고 있습니다.)
IP 주소가 내가 나열한 처음 세 범위 중 하나에 속한다면 NAT는 아마도 Comcast 게이트웨이에 의해 구현될 것입니다. NAT를 꺼서 네트워크의 각 시스템이 별도의 공용 IP 주소를 갖도록 할 수 있습니다. (이는 또한 모든 시스템이 인터넷을 돌아다니는 웜 및 기타 맬웨어로부터 무작위 조사 및 공격을 받게 된다는 것을 의미하므로 이 방법을 사용한다면 모든 시스템을 최신 상태로 유지해야 합니다!)
또는 다음을 구성할 수도 있습니다.포워드 포트Comcast 게이트웨이: 기본적으로 게이트웨이에는 Comcast 게이트웨이에 연결된 모든 시스템에서 공유되는 공용 IP 주소가 있습니다. 게이트웨이의 설정을 사용하여 "어디서나 TCP 포트 80(공유 공용 IP)으로 들어오는 연결은 포트 80으로 라우팅되어야 합니다."와 같은 규칙을 정의할 수 있어야 합니다.이것들어오는 HTTP 연결이 작동하도록 허용하는 로컬 네트워크의 "IP 주소" 또는 SSH가 작동하도록 하는 유사 TCP 포트 22. 게이트웨이에서 UPnP 및/또는 NAT-PMP를 활성화한 경우 일부 소프트웨어(또는 장치)는 수동으로 구성할 필요 없이 임시 포트 전달을 자동으로 요청합니다.
제가 나열한 네 번째 IP 주소 범위는 특히 불행합니다.RFC 6598캐리어급 NAT와 작동합니다. 이는 모바일 데이터 가입과 함께 가장 일반적으로 사용됩니다. 이 경우 NAT는 서비스 공급자의 시스템 내에서 수행되며 개별 가입자가 구성할 수 없으므로 이러한 가입을 사용하여 들어오는 연결을 전혀 처리할 수 없습니다.
답변2
공용 IP 범위가 없으면(가능성이 거의 없음) 인터넷 연결은 NAT를 사용합니다. 내부 주소는 외부에서 액세스할 수 없습니다(널리 사용되는 데스크톱 운영 체제의 보안이 매우 취약하다는 점을 고려하면 이는 기본적으로 좋은 것입니다). 서비스를 인터넷에 노출하려면 라우터에서 포트 전달을 설정해야 합니다.