시놀로지 NAS 해외 ip 차단 방법. 한국 이외 지역 차단하는 시놀로지 방화벽 설정

시놀로지 NAS의 IP 주소 차단 메시지

얼마 전 지인으로부터 시놀로지 NAS에서 IP 주소가 DSM에 의해 차단되었다는 [자동 차단] 메시지가 지속적으로 뜬다는 얘기를 들었습니다.


자동 차단 메시지에 떴다는 IP를 조회해보니 러시아와 중국쪽 IP였는데, 사실 외부에서 접속이 가능하도록 설정해 놓은 시놀로지 NAS를 무작위로 스캔하면서 찔러보는(?) 행위는 매우 흔한 일입니다.


NAS를 인터넷 공유기에 연결해 둔 상태라 특별히 염려할 것은 없다 싶었지만, 랜섬웨어에 당한 경험도 있는 지인이다보니 이렇게 찔러보는 해외의 IP를 차단하는 방법이 없는지 물어보는군요.


설정 방법을 알려주기 위해 한동안 전원을 넣지 않았던 헤놀로지를 켰습니다.

시놀로지 NAS

시놀로지 NAS의 방화벽 설정

시놀로지 운영체제 DSM의 방화벽 기능 중에는 특정 조건에 맞는 IP의 접속을 허용/차단할 수 있고, 이 기능을 이용해 한국 이외의 IP에서 접속하지 못하도록 설정하면 보다 안전합니다.


DSM의 방화벽 기능을 설정하려면 [제어판]-[보안] 기능을 클릭합니다.

만일 제어판에서 [보안] 기능이 보이지 않는다면 제어판 오른쪽 상단의 [고급 모드] 항목을 클릭합니다.

시놀로지 제어판 보안


[보안] 항목 중 [방화벽] 탭을 클릭하고

시놀로지 제어판 방화벽 설정


[방화벽 활성화] 항목을 체크한 뒤 [방화벽 프로파일] 항목을 [custom]으로 선택합니다.

기본값인 [default] 프로파일을 사용해도 문제는 없지만 일단 방화벽 규칙을 수정하는 것이니 custom으로 선택했습니다.

시놀로지 방화벽 활성화


[방화벽 규칙 생성] 창이 뜨면 [소스 IP] 항목을 [위치]로 설정한 뒤 [선택] 버튼을 클릭합니다.

시놀로지 NAS 한국 IP만 허용


[위치] 창이 열리면서 여러 나라 이름이 뜨는데, 여기서 [KR/남한] 항목을 찾아 체크하고 [확인] 버튼을 클릭합니다.

시놀로지 방화벽 국가 설정


다시 [방화벽 규칙 생성] 창으로 넘어오면 [작업] 항목이 [허용]으로 설정되어 있는지 확인한 뒤 [확인] 버튼을 클릭합니다.

시놀로지 방화벽 규칙 생성


이제 남한(한국)의 IP는 접속을 허용한다는 규칙이 만들어졌습니다.

시놀로지 방화벽 프로파일 편집

공유기 내부 IP 접속 허용 설정

한국 IP의 접속을 허용한다는 규칙을 만들었을 뿐, 아직 해외 IP의 접속 차단 설정이 끝난 것은 아닙니다.


일단 NAS가 연결된 공유기의 내부 네트워크를 허용하는 작업이 필요합니다.

다시 [생성] 버튼을 클릭한 뒤, 이번에는 [소스 IP] 메뉴에서 [특정 IP] 항목을 클릭하고 [선택] 버튼을 클릭합니다.

시놀로지 NAS 내부 IP 허용 규칙


[소스 IP] 창에서 [IP 범위] 항목을 선택한 뒤 [소스/시작] 항목과 [종료] 항목에 사용 중인 인터넷 공유기의 내부 IP 범위를 입력하고 [확인] 버튼을 클릭합니다.

시놀로지 NAS 내부 IP 대역 추가


다시 이전 화면으로 넘어오면 [작업] 항목이 [허용]으로 되어 있는지 확인한 뒤 [확인] 버튼을 클릭합니다.

시놀로지 사설 IP 대역 추가


이제 프로파일에 한국 IP 허용, 공유기 내부 IP를 허용한다는 규칙이 만들어졌습니다.

시놀로지 해외 접속 차단 설정


참고로 공유기 내부 IP 대역은 192.168...로 시작하는 IP 대역으로, 사용 중인 공유기의 내부 IP 대역을 모른다면 [네트워크] 항목을 클릭해 [기본 게이트웨이] 항목을 통해 파악할 수 있습니다.

시놀로지 공유기 내부 IP 확인

즉, 제 공유기의 게이트웨이는 192.168.0.1이 할당되어 있으며, 이 경우 공유기에 연결된 장비들은 192.168.0.2부터 192.168.0.254의 IP가 할당됩니다.


공유기에 따라 게이트웨이가 192.168.123.1과 설정된 경우도 있는데, 이럴 때는 IP 범위를 192.168.123.1부터 192.168.123.254와 같이 설정하면 됩니다.

한국 IP와 내부 IP를 제외한 모든 IP를 차단

이제 한국 IP와 공유기 내부 IP들의 접속을 허용한다는 조건을 만들어 주었고, 남은 것은 위의 조건과 맞지 않는 경우 접속을 차단하도록 설정하는 것입니다.


프로파일 편집 화면 오른쪽 상단의 [모든 인터페이스] 항목을 클릭한 뒤 [LAN 포트 1]을 선택하고

시놀로지 해외접속 차단 규칙 설정


화면 하단의 [규칙이 일치하지 않는 경우] 항목을 [접근 거부]로 선택합니다.

규칙이 일치하지 않는 경우 접근 거부


같은 방법으로 화면 오른쪽 상단의 [PPPoE]와 [VPN]을 [접근 거부]로 반복 설정한 뒤 [확인] 버튼을 클릭합니다.

시놀로지 해외 접속 차단 규칙 설정


모든 설정이 정상 완료되었다면 [방화벽 설정이 성공적으로 저장되었습니다] 라는 메시지가 뜨며, 이어 [적용] 버튼을 누르는 것으로 설정한 내용이 방화벽에 적용됩니다.

시놀로지 방화벽 설정 저장


만일 [새 방화벽 구성에 의해 컴퓨터가 차단되었습니다] 라는 메시지가 뜬다면, 지금까지 만든 방화벽 설정에 현재 접속한 컴퓨터까지 포함되었다는 뜻입니다.


이렇게 될 경우, 현재 시놀로지 NAS를 설정 중인 컴퓨터까지 접속이 차단되어 버리게 되니, 시놀로지가 이 설정이 적용되지 않도록 이전 상태로 되돌렸다는 뜻입니다.

새 방화벽 구성에 의해 컴퓨터가 차단되었습니다

이런 메시지가 뜨는 대부분의 경우는, 192.168로 시작하는 내부 IP 대역을 잘못 입력한 경우로, 사용 중인 공유기의 내부 IP 대역을 정확히 입력했는지 확인해 봅니다.


이제 스마트폰의 와이파이를 끄고 시놀로지 NAS의 공인 IP를 직접 입력해보면, 한국내 IP라 정상 입력됩니다.

시놀로지 해외 IP차단 VPN

반면 스마트폰에서 VPN 앱을 실행한 뒤 접속을 해보면, 한참동안 버벅거리다가 [사이트에 연결할 수 없음] 이라는 메시지가 뜨면서 접속이 차단됩니다.


이제 이 시놀로지 NAS는 해외에서 접속이 차단되었고, 대부분의 해외 접속 시도 메시지 역시 더 이상 뜨지 않게 됩니다.


물론 의도적으로 해외 사용자의 NAS 접속을 허용해야 하는 경우라면, 앞서 남한(한국)을 허용했던 것 처럼 특정 국적만 선별적으로 허용해 주면 됩니다.

시놀로지 NAS 보안과 공유기 DMZ

위에서 살펴본 해외 IP 설정만으로, 무작위로 찔러보는 수준의 '어지간한' 접속 시도들은 대부분 차단되지만, 맘먹고 덤벼드는 경우는 털릴 수(?)있으니 NAS 자료 역시 무작정 쌓아두지 말고 주기적인 백업과 점검이 필요합니다.


아울러 시놀로지 NAS의 경우 사용자가 많다보니, 이러한 접속 시도 역시 빈번한 편인데, 시놀로지 NAS가 지원하는 서비스 중 꼭 필요한 것만 켜서 사용할 필요가 있습니다.


특히 Telnet 서비스나 SSH 서비스는 사용할 때만 열고 평상시에는 닫아두는게 안전합니다.

시놀로지 Telnet SSH 서비스 설정기본 설정값은 비활성화 상태


아울러 공유기에서 NAS 장비의 IP를 DMZ 영역으로 설정하는 것은, 빠르고 편리한 방법이지만 공유기의 방화벽 밖에 내놓은 것과 마찬가지라 권장하지 않는 방법이기도 합니다.

NAS DMZ 설정


개인적으로는 시놀로지 NAS에서 사용하는 서비스의 포트들만 공유기의 포트포워딩(Virtual Server)에 할당해 사용하는 방법을 권장합니다.

공유기 포트포워딩 Virtual Server

비록 시놀로지 NAS의 서비스 포트들을 일일이 등록해야 하는 불편함이 있지만, 모든 포트들을 열어두고 사용하는 것보다 보안 위험이 훨씬 낮아집니다.


이 포스팅에서 포트포워딩 방법까지 모두 설명하기는 어려운터라, 추후 다른 포스팅을 통해 살펴볼까 하는데, 핵심은 '불편할 수록 보다 안전'하다입니다.


이 글을 공유하기

댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다

Designed by JB FACTORY