우키의 블로그

L4 스위치는 웹서버의 로드분산을 위해서 많이 쓰이는 장비입니다.
여기선 Piolink L4제품의 Source NAT추가/제거 커맨드를 적어봅니다.
web서버의 특성상  평소엔 별 필요가 없는 커맨드입니다. 하지만 보안패치를 하기위해
잠시 인터넷에 접속할 필요가 있을때 L4내부의 SLB내의 서버들을 위해 약간의 설정이 필요합니다.
평소엔 이 설정이 되어있지않아야겠습니다. 꼭 필요할때만 잠시 사용하시길....

* SLB구성환경은  외부서비스 아이피 222.222.222.201에  real server 192.168.1.101  입니다...
* sip는 내부의 단일 서버 되겠습니다. (물론 네트웍을 설정할수도 있지만 저는 비추천입니다.)
* natip는 내부의 서버가 달고 나가는 IP되겠습니다.
* nat,  priority 는 겹치지않아야합니다.


# add Source nat
gwlb L4router
  real 1
    nat 1
      type source-nat
      priority 1
      enable
      protocol all
      sip 192.168.1.101/32
      dip 0.0.0.0/0
      natip 222.222.222.201
      apply

# Delete Source nat
gwlb L4router
  real 1
    no nat 1

OPmanager는 네트웍과 서버모두를 비주얼하게 체크할수있는 좋은 모니터링 툴입니다.
여러가지 툴을 테스트해보았는데 이만한게 없다는 생각입니다....
타 모니터링 툴보다 강점이라고 한다면 성능모니터링까지 가능하다는 것이죠...
또한 SNMP 뿐 아니라 WMI 속성을 이용하기때문에 서버 모니터링에도 매우 강력한 성능을 발휘합니다.
사용중에 다른 포트로 변경할 필요가 있어서 작업을 하게 되었습니다.
아무리 봐도 웹 메뉴에선 없더군요..
Knowledge base를 뒤져보니 배치파일에 의해서 바꿀수있다고 되어있더군요

      파일경로: C:\Program Files\AdventNet\ME\OpManager\bin\
      파일이름: ChangeWebServerPort.bat

      변경요구: 웹서버포트를 80에서 9095으로 바꿔주세요

      변경방법: 커맨드 모드에서 다음과 같이 명령어 입력후 엔터....
                       ChangeWebServerPort.bat 80 9095 
                     옵션을 안걸고 실행하면 9090포트로 바뀝니다.

        ** 아파치엔진을 사용하는데.. 포트변경후 서비스를 재 시작하셔야 반영됩니다.
 
      서비스:  ManageEngine OpManager  
                  ManageEngineOpManagerApache

▶ 비업무용 싸이트를 block하는 정책을 만들다
업무시간에  직원들이 업무에만 집중할수있도록  비업무용 사이트를 block하는 정책을 만들게되었습니다.
해당 부서의 부서장님의 요청으로 작업에 들어가게되었습니다.

1. block할 사이트를 URL에 근거해서 막기로 했습니다.
IP를 근거로 block하면 향후 관리가 어렵기때문에 피했습니다.
set address "Untrust" "block_url_cyworld" cyworld.com
set address "Untrust" "block_url_cyworld.co.kr" cyworld.co.kr

2. 향후 block할 사이트가 늘어날 경우를 대비하여 G_Block_url 그룹을 만들어 소속시켰습니다.
set group address "Untrust" "G_Block_url"
set group address "Untrust" "G_Block_url" add "block_url_cyworld"
set group address "Untrust" "G_Block_url" add "block_url_cyworld.co.kr"

3. 내부 네트웍(local_NET)에서 G_Block-url로 접근하는것을 block하는 정책을 만들었습니다.
set policy top from "Trust" to "Untrust"  "local_NET" "G_Block_url" "ANY" deny log

▶ 넷스크린이 바라보는 DNS서버를 확인하다.
그런데 말이죠.. 연락해서 알아보니 실제론 싸이미니홈피가 block이 안된다고 하더군요...  이론... ㅠㅠ
url기반의 block정책이 유효하지않다면. 그것은 장비가 올바른 DNS서버를 바라보고있지않다는 말이죠..
즉시 장비세팅의 dns관련 부분을 조회해봤더니 역시나 dns설정이 안되어있습니다.
그래서 KT dns를 바라보도록 세팅해습니다.
set dns host dns1 168.126.63.1
set dns host dns2 168.126.63.2

▶ 시간대를 지정해서 정한 시간대에만 Block되도록 수정하다.
그런데 말이죠..  업무시간이 아닌때에는  block하지않는것이 좋겠다는 요청이 다시 들어왔습니다.
넷스크린에서 정책을 만들때 스케쥴을 거는것이 보이지않아서  안되는줄 알고있었는데
예전의  전임담당자에게서 스케쥴 거는것이 가능하다는 말을 듣게되었습니다. 자세히 보니 있더군요..^^
월요일부터 금요일까지 09:00부터 18시까지 점심시간을 제외하고 block하는것으로 정책을 수정했습니다.

1. Block할 시간대를  schedule 오브젝트로 만들다
여기서는 work_time이란 오브젝트를 만들었습니다. 요일별로 두개의 time구간을 세팅할수있습니다.
set scheduler "work_time" recurrent monday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler "work_time" recurrent tuesday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler "work_time" recurrent wednesday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler "work_time" recurrent thursday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler "work_time" recurrent friday start 9:0 stop 12:0 start 13:0 stop 18:0

참고로 웹콘솔에서 세팅할때의 모습을 캡춰해봤습니다.

▶ 상황: 특수한 서버는 원격지의 특정사이트와만 통신이 되는 격리된 네트웍에 존재하고있다.
             --> 도메인컨트롤러와  서버사이에  방화벽이 존재하고있다.
▶ 요구사항: 도메인인증을 사용하여 서버를 사용하려한다.
              파일서버나  다른 어플리케이션서버는 사용할 필요가 없다.

방화벽에서 어떤 포트를 열어야할까... 이것저건 해보던중....
MS 사이트에서 해답을 얻었습니다.