시놀로지 NAS 해외 ip 차단 방법. 한국 이외 지역 차단하는 시놀로지 방화벽 설정

시놀로지 NAS의 IP 주소 차단 메시지

얼마 전 지인으로부터 시놀로지 NAS에서 IP 주소가 DSM에 의해 차단되었다는 [자동 차단] 메시지가 지속적으로 뜬다는 얘기를 들었습니다.

자동 차단 메시지에 떴다는 IP를 조회해보니 러시아와 중국쪽 IP였는데, 사실 외부에서 접속이 가능하도록 설정해 놓은 시놀로지 NAS를 무작위로 스캔하면서 찔러보는(?) 행위는 매우 흔한 일입니다.

NAS를 인터넷 공유기에 연결해 둔 상태라 특별히 염려할 것은 없다 싶었지만, 랜섬웨어에 당한 경험도 있는 지인이다보니 이렇게 찔러보는 해외의 IP를 차단하는 방법이 없는지 물어보는군요.

설정 방법을 알려주기 위해 한동안 전원을 넣지 않았던 헤놀로지를 켰습니다.

시놀로지 NAS의 방화벽 설정

시놀로지 운영체제 DSM의 방화벽 기능 중에는 특정 조건에 맞는 IP의 접속을 허용/차단할 수 있고, 이 기능을 이용해 한국 이외의 IP에서 접속하지 못하도록 설정하면 보다 안전합니다.

DSM의 방화벽 기능을 설정하려면 [제어판]-[보안] 기능을 클릭합니다.

만일 제어판에서 [보안] 기능이 보이지 않는다면 제어판 오른쪽 상단의 [고급 모드] 항목을 클릭합니다.

[보안] 항목 중 [방화벽] 탭을 클릭하고

[방화벽 활성화] 항목을 체크한 뒤 [방화벽 프로파일] 항목을 [custom]으로 선택합니다.

기본값인 [default] 프로파일을 사용해도 문제는 없지만 일단 방화벽 규칙을 수정하는 것이니 custom으로 선택했습니다.

[방화벽 규칙 생성] 창이 뜨면 [소스 IP] 항목을 [위치]로 설정한 뒤 [선택] 버튼을 클릭합니다.

[위치] 창이 열리면서 여러 나라 이름이 뜨는데, 여기서 [KR/남한] 항목을 찾아 체크하고 [확인] 버튼을 클릭합니다.

다시 [방화벽 규칙 생성] 창으로 넘어오면 [작업] 항목이 [허용]으로 설정되어 있는지 확인한 뒤 [확인] 버튼을 클릭합니다.

이제 남한(한국)의 IP는 접속을 허용한다는 규칙이 만들어졌습니다.

공유기 내부 IP 접속 허용 설정

한국 IP의 접속을 허용한다는 규칙을 만들었을 뿐, 아직 해외 IP의 접속 차단 설정이 끝난 것은 아닙니다.

일단 NAS가 연결된 공유기의 내부 네트워크를 허용하는 작업이 필요합니다.

다시 [생성] 버튼을 클릭한 뒤, 이번에는 [소스 IP] 메뉴에서 [특정 IP] 항목을 클릭하고 [선택] 버튼을 클릭합니다.

[소스 IP] 창에서 [IP 범위] 항목을 선택한 뒤 [소스/시작] 항목과 [종료] 항목에 사용 중인 인터넷 공유기의 내부 IP 범위를 입력하고 [확인] 버튼을 클릭합니다.

다시 이전 화면으로 넘어오면 [작업] 항목이 [허용]으로 되어 있는지 확인한 뒤 [확인] 버튼을 클릭합니다.

이제 프로파일에 한국 IP 허용, 공유기 내부 IP를 허용한다는 규칙이 만들어졌습니다.

참고로 공유기 내부 IP 대역은 192.168...로 시작하는 IP 대역으로, 사용 중인 공유기의 내부 IP 대역을 모른다면 [네트워크] 항목을 클릭해 [기본 게이트웨이] 항목을 통해 파악할 수 있습니다.

즉, 제 공유기의 게이트웨이는 192.168.0.1이 할당되어 있으며, 이 경우 공유기에 연결된 장비들은 192.168.0.2부터 192.168.0.254의 IP가 할당됩니다.

공유기에 따라 게이트웨이가 192.168.123.1과 설정된 경우도 있는데, 이럴 때는 IP 범위를 192.168.123.1부터 192.168.123.254와 같이 설정하면 됩니다.

한국 IP와 내부 IP를 제외한 모든 IP를 차단

이제 한국 IP와 공유기 내부 IP들의 접속을 허용한다는 조건을 만들어 주었고, 남은 것은 위의 조건과 맞지 않는 경우 접속을 차단하도록 설정하는 것입니다.

프로파일 편집 화면 오른쪽 상단의 [모든 인터페이스] 항목을 클릭한 뒤 [LAN 포트 1]을 선택하고

화면 하단의 [규칙이 일치하지 않는 경우] 항목을 [접근 거부]로 선택합니다.

같은 방법으로 화면 오른쪽 상단의 [PPPoE]와 [VPN]을 [접근 거부]로 반복 설정한 뒤 [확인] 버튼을 클릭합니다.

모든 설정이 정상 완료되었다면 [방화벽 설정이 성공적으로 저장되었습니다] 라는 메시지가 뜨며, 이어 [적용] 버튼을 누르는 것으로 설정한 내용이 방화벽에 적용됩니다.

만일 [새 방화벽 구성에 의해 컴퓨터가 차단되었습니다] 라는 메시지가 뜬다면, 지금까지 만든 방화벽 설정에 현재 접속한 컴퓨터까지 포함되었다는 뜻입니다.

이렇게 될 경우, 현재 시놀로지 NAS를 설정 중인 컴퓨터까지 접속이 차단되어 버리게 되니, 시놀로지가 이 설정이 적용되지 않도록 이전 상태로 되돌렸다는 뜻입니다.

이런 메시지가 뜨는 대부분의 경우는, 192.168로 시작하는 내부 IP 대역을 잘못 입력한 경우로, 사용 중인 공유기의 내부 IP 대역을 정확히 입력했는지 확인해 봅니다.

이제 스마트폰의 와이파이를 끄고 시놀로지 NAS의 공인 IP를 직접 입력해보면, 한국내 IP라 정상 입력됩니다.

반면 스마트폰에서 VPN 앱을 실행한 뒤 접속을 해보면, 한참동안 버벅거리다가 [사이트에 연결할 수 없음] 이라는 메시지가 뜨면서 접속이 차단됩니다.

이제 이 시놀로지 NAS는 해외에서 접속이 차단되었고, 대부분의 해외 접속 시도 메시지 역시 더 이상 뜨지 않게 됩니다.

물론 의도적으로 해외 사용자의 NAS 접속을 허용해야 하는 경우라면, 앞서 남한(한국)을 허용했던 것 처럼 특정 국적만 선별적으로 허용해 주면 됩니다.

시놀로지 NAS 보안과 공유기 DMZ

위에서 살펴본 해외 IP 설정만으로, 무작위로 찔러보는 수준의 '어지간한' 접속 시도들은 대부분 차단되지만, 맘먹고 덤벼드는 경우는 털릴 수(?)있으니 NAS 자료 역시 무작정 쌓아두지 말고 주기적인 백업과 점검이 필요합니다.

아울러 시놀로지 NAS의 경우 사용자가 많다보니, 이러한 접속 시도 역시 빈번한 편인데, 시놀로지 NAS가 지원하는 서비스 중 꼭 필요한 것만 켜서 사용할 필요가 있습니다.

특히 Telnet 서비스나 SSH 서비스는 사용할 때만 열고 평상시에는 닫아두는게 안전합니다.

기본 설정값은 비활성화 상태

아울러 공유기에서 NAS 장비의 IP를 DMZ 영역으로 설정하는 것은, 빠르고 편리한 방법이지만 공유기의 방화벽 밖에 내놓은 것과 마찬가지라 권장하지 않는 방법이기도 합니다.

개인적으로는 시놀로지 NAS에서 사용하는 서비스의 포트들만 공유기의 포트포워딩(Virtual Server)에 할당해 사용하는 방법을 권장합니다.

비록 시놀로지 NAS의 서비스 포트들을 일일이 등록해야 하는 불편함이 있지만, 모든 포트들을 열어두고 사용하는 것보다 보안 위험이 훨씬 낮아집니다.

이 포스팅에서 포트포워딩 방법까지 모두 설명하기는 어려운터라, 추후 다른 포스팅을 통해 살펴볼까 하는데, 핵심은 '불편할 수록 보다 안전'하다입니다.

관련글

• 2019/06/08 - 헤놀로지 NAS 디스크, 다른 PC에서 복구하기. 메인보드 고장난 헤놀로지 데이터 복구
• 2018/10/24 - 윈도우 탐색기의 네트워크 드라이브 연결과 재부팅시 자동 연결 설정 배치 파일
• 2018/05/13 - KODI에서 시놀로지 NAS에 저장된 파일 여는 방법. KODI에 SMB 공유폴더 등록하기
• 2018/03/22 - Vstarcam IP카메라와 시놀로지 NAS 연결 방법. Vstarcam C37S의 ONVIF 포트 설정
• 2018/03/02 - 시놀로지 NAS에 스마트폰 IP카메라 연결 방법. IP Webcam 영상을 NAS에 저장하기