시놀로지 (Synology) 방화벽 설정

by

안녕하세요!

이번에는 시놀로지 NAS에서 보안을 위해 방화벽을 설정하는 방법에 대해 포스팅하겠습니다.

모든 NAS가 그렇듯이, 외부의 위협에 노출될 수 있다는 점에서 보안이 무엇보다 중요합니다.
특히, 외부망에서 NAS에 접근할 수 있도록 설정해두었다면, 방화벽을 통해 불필요한 접근을 차단하고, 허용된 트래픽만 받아들이도록 설정하는 것이 필수적입니다.

이 포스팅에서는 시놀로지 NAS에서 방화벽을 설정하는 방법과
이를 통해 보안을 강화하여 기초적인 방화벽의 설정 절차를 자세히 살펴보면서, NAS를 안전하게 보호하는 데 도움이 되는 정보를 공유하겠습니다.

방화벽 새 프로필 생성

먼저, DSM에서 제어판에 진입하여 보안 > 방화벽을 클릭합니다.

아무런 설정도 하지 않았다면, 방화벽 프로파일이 default (기본)로 돼 있습니다.
새 프로필을 만들기 위해 default를 클릭하여 메뉴를 펼치고, 방화벽 프로필 관리를 클릭합니다.

방화벽 프로필 관리에서 생성을 클릭합니다.

생성을 클릭할 경우, 이러한 화면이 나타나게 됩니다.
먼저 프로파일 이름을 지정하고, 방화벽 규칙 생성을 클릭합니다.

이제 내부망과 Docker Bridge, 그리고 특정 국가의 IP만 허용하고
그 외의 모든 트래픽은 차단하는 방법을 설명하겠습니다.

방화벽 세부 설정

내부망 허용

위와 같이 설정합니다.
이후 특정 IP의 오른쪽에 있는 선택 버튼을 클릭합니다.

IP 범위를 클릭하고 소스/시작과 종료에 내부망의 시작과 끝을 입합니다.

필자의 경우 내부망이 192.168.0.x이므로 위와 같이 입력했지만,
내부망이 10.x.x.x나 172.x.x.x일 경우에는, 그에 맞춰 입력해야 합니다.

내부망의 IP는 제어판의 네트워크 > 네트워크 인터페이스 > LAN 포트 1에서 확인할 수 있습니다.

만약 시놀로지의 LAN 포트 1의 IP가 172.16.0.5라고 가정한다면
소스/시작에는 172.16.0.1을, 종료에는 172.16.0.255를 입력하면 됩니다.

입력이 끝났다면 확인을 클릭합니다.

Docker Bridge 허용

만약 아직 Docker 혹은 Container Manager를 설치하지 않았다면, 이 목차를 건너뜁니다.
추후에 설치하게 될 때 다시 설정해 주세요.

Docker 혹은 Container Manager (이하 도커)를 실행하여
네트워크 탭에서 bridge를 클릭하여 확장하고, 서브넷게이트웨이를 메모합니다.

방화벽의 프로필 편집에서 생성을 클릭합니다.

위와 같이 설정합니다.
이후 특정 IP의 오른쪽에 있는 선택 버튼을 클릭합니다.

소스 IP에서 서브넷을 선택하고, IP 주소와 서브넷 마스크/Prefix 길이를 메모를 참고하여 입력합니다.

IP 뒤에 붙는 /16과 같은 값은 입력하지 않아도 됩니다.

입력이 끝났다면 확인을 클릭합니다.

특정 국가의 IP만 허용

방화벽의 프로필 편집에서 생성을 클릭합니다.

위와 같이 설정합니다.
이후 위치의 오른쪽에 있는 선택 버튼을 클릭합니다.

접속을 허용할 국가를 선택합니다.
한국은 남한 (KR)으로 검색해야 합니다.

각국의 코드는 다음과 같습니다:

  • 한국: KR (남한)
  • 일본: JP
  • 대만: TW
  • 홍콩: HK

특히 설정 시 주의할 점은 해외여행 시 eSIM을 사용할 경우입니다.
eSIM을 발급받은 회사의 국가 IP가 부여되기 때문에,
예를 들어, KKday에서 발급한 eSIM을 사용하는 경우 대만(TW)과 홍콩(HK)의 IP를 허용해야만 eSIM의 셀룰러를 통해 DSM에 접속할 수 있습니다.
이러한 점을 유의하여 설정을 진행하시기 바랍니다.

입력이 끝났다면 확인을 클릭합니다.

나머지 모두 거부

이제 허용할 규칙들의 생성이 끝났으므로, 이외의 모든 접속은 거부하는 설정을 진행하겠습니다.

방화벽의 프로필 편집에서 생성을 클릭합니다.

위와 같이 설정합니다.

이번에는 작업에서 거부를 선택해주셔야 합니다.
이후 내장된 응용 프로그램 목록에서 선택의 오른쪽에 있는 선택 버튼을 클릭합니다.

좌측 상단에서 전체 체크하고, 확인을 클릭합니다.

주의할 점은, 포트의 응용 프로그램에서 모두 체크하여 거부하는 것과,
포트에서 모두를 체크하여 거부하는 것은 엄연히 다릅니다.

후자의 경우, duckdns.org의 역방향 프록시가 정상적으로 작동하지 않았습니다.
물론 이는 필자가 네트워크의 지식이 부족하기 때문일 수도 있지만
웬만하면 포스팅 된 방법으로 하시길 바랍니다.

규칙의 우선순위 설정

규칙의 생성이 모두 끝났다면, 좌측의 가로 세 줄 버튼을 드래그하여 규칙의 우선순위를 변경할 수 있습니다.
상대적으로 위쪽에 있을 수록 더 높은 우선순위를 가지게 됩니다.

따라서, 거부 작업은 최하단에 위치해야 합니다.

모든 설정이 끝났다면 확인을 클릭하여 저장하고
제어판에서 방화벽 프로필을 새로 생성한 프로필로 지정한 뒤 저장합니다.

위 과정에서 설명하지 않은 규칙이 하나 있는데,
Windows 파일 서버, 암호화…로 보이는 규칙은, SSH를 활성화할 경우
DSM에서 방화벽에 해당 규칙을 추가할 것인지 묻는 팝업창이 뜨게 됩니다.
해당 팝업창에서 규칙을 추가할 수 있으므로, 이 과정에서는 생략해도 괜찮습니다.

이로써 시놀로지 방화벽 설정에 대한 포스팅을 마칩니다.
여기까지 따라오시느라 수고 많으셨습니다!

이 포스팅은 기초적인 설정을 다루고 있으므로, 다른 프로그램과의 충돌 가능성은 적습니다.
하지만 시놀로지를 사용하면서 접속이나 연결과 관련된 문제가 발생할 경우
방화벽 프로필을 기본값(default)으로 설정해 테스트해보는 것이 좋습니다.
이를 통해 방화벽 설정이 문제의 원인인지 확인할 수 있을 것입니다.

이 포스팅이 도움이 되기를 바라며,
앞으로도 시놀로지 관련된 유용한 정보를 계속 공유할 예정이니 많은 관심 부탁드립니다.

감사합니다!

Leave a Comment