Joinc Wiki: Proxy 서버 구축하기

Facebook Joinc 그룹 Joinc QA 사이트

현재위치 : 미니사이트>System_management>Proxy

joinc는 Firefox와 chrome에서 테스트 했습니다. IE에서는 테이블이 깨지거나 이미지가 보이지 않을 수 있습니다. 특히 구글 Docs이미지의 경우 엑박처리될 수 있습니다.

1 Proxy 서버에 대하여

2 Proxy 종류

2.1 Caching Proxy server
2.2 Web Proxy
2.3 Forward Proxy
2.4 Reverse Proxy

3 Open SSH를 이용한 Proxy Server 구축

3.1 Port forwarding Proxy Server

3.1.1 구축 테스트 - Linux
3.1.2 구축 테스트 - Windows

3.2 SOCKS 기반 Proxy 서버 구축

3.3 장점

1 Proxy 서버에 대하여

Proxy는 자신을 통해서 다른 네트워크에 간접적으로 접속할 수 있도록 해주는 컴퓨터 혹은 프로그램을 가리킨다. 요청을 중계하는 일을 하는 컴퓨터 혹은 프로그램으로 이해하면 된다. 이때 중계하는 프로그램을 proxy 프로그램이라고 한다. proxy 프로그램은 서버로서 작동하기 때문에 일반적으로 proxy 서버라고 한다.

proxy는 요청의 중계라는 매우 추상적인 과정을 가리킨다. 때문에 중계 목적, 중계 위치, 중계 방법에 따라서 다양한 종류의 proxy 서버가 존재한다.

proxy 서버는 다음과 같은 목적을 가진다.

보안 : 익명의 사용자가 서버에 직접 접근하는 것을 막는다.
속도 : proxy 서버는 사용자의 요청을 cache 해서, 동일한 요청이 들어오면 cache의 자원을 반환한다. 이는 서비스의 속도를 높여준다.
ACL : 사이트 접근에 대한 접근 정책을 정의할 수 있다.
Log/Audit : 회사내 직원의 인터넷 사용을 레포팅 할 수 있다. 반대로 인트라넷의 사용을 레포팅할 수도 있다.
지역 네트워크의 제한을 우회하기 위해서 : 보안상의 이유로 80번 외에는 포트를 막아 놓는 경우가 있는데, 이러한 제한을 우회해서 원하는 다른 서비스를 이용할 수 있다.

2 Proxy 종류

Proxy 서버는 다양한 형식이 존재한다.

2.1 Caching Proxy server

이전 클라이언트의 요청 내용과 응답 컨텐츠를 저장해 두었다가 동일한 요청이 들어오면, 저장된 컨텐츠를 전송한다. 이 방법을 이용하면 트래픽을 줄이고, 성능을 높일 수 있다. 비용을 아낄 수 있기 때문에 ISP와 큰 규모의 회사들은 caching proxy를 애용한다. 매우 널리 사용되지만 잘못 구현된 caching proxy 구현은 유저 인증에서 문제가 발생하기도 한다.

2.2 Web Proxy

World Wide Web 트래픽에 촛점이 맞춰진 Proxy 서버를 일컫는다. 웹 프록시의 가장 일반적인 형태는 web cache이다. 어떤 프록시 서버는 핸드폰, PDA에 맞게 웹서버의 컨텐츠를 변환하는 일을 하기도 한다.

2.3 Forward Proxy

일반적으로 사용하는 프록시 방식이다. 프록시 서버는 클라이언트와 애플리케이션 서버 사이에 위치한다. 클라이언트가 타겟 서버인 애플리케이션에 서비스를 요청할 때, 프록시 서버로 요청을 보낸다. 그러면 프록시 서버가 타겟 서버로 요청을 중계한다.

2.4 Reverse Proxy

Reverse라는 용어 때문에 헛갈릴 수 있다. 기본적인 구성은 Forward Proxy와 동일하지만, 클라이언트는 Proxy Server 배후에 있는타겟 서버의 URL이 아닌 Proxy Server의 URL로 요청한다.

Desktop PC는 배후에 있는 mail.a.com 이 아닌 Proxy Server의 URL인 www.abc.com을 요청한다. 요청을 받은 Proxy Server는 URI에 맵핑된 애플리케이션 서버로 중계를 한다. 그러므로 애플리케이션 서버는 외부로 부터 감추어지게 되는 효과를 얻게 된다.

애플리케이션 서버의 정보가 외부로 부터 감추어진 다는 이점외에, 분산 처리 시스템을 만들 수 있다는 장점도 있다. Proxy Server이 요청을 분산하는 역할을 할 수 있기 때문이다.

3 Open SSH를 이용한 Proxy Server 구축

OpenSSH는 BSD기반의 SSH 서버/클라이언트 프로그램이다. 이 프로그램을 이용하면 매우 간단하게 - 그리고 별도의 비용 없이 - Proxy Server 환경을 구축할 수 있다. 저렴한 비용이라는 장점외에 Proxy Over SSL환경을 구축함으로써 강력한 데이터 보안 환경을 구축할 수 있다는 장점도 가진다.

3.1 Port forwarding Proxy Server

SSH는 port forwarding를 이용해서 SSH 터널을 만들고 이 터널을 이용해서 데이터를 중계한다.

Application Server는 SSH 클라이언트를 이용해서 Proxy Server:8080에서 Application Server:80으로 SSH 터널을 뚫는다.
Home PC는 8080에서 SSH Proxy:8080으로 향하는 터널을 뚫는다. 결과적으로 Home PC:8080에서 Application server:8080까지 SSH 터널이 뚫리게 되고, 이 터널을 통해서 데이터 통신을 하게 된다. 물론 Proxy Server에는 ssh 서버가 떠 있어서 이들 포트를 중계한다.

3.1.1 구축 테스트 - Linux

테스트를 할려면 최소 2대의 컴퓨터가 있어야 할 것이다. 여기에서는 virtualbox를 이용해서 가상화 환경을 만들어서 proxy 테스트를 했다. virtualbox로 실행한 컴퓨터가 애플리케이션 서버역할을 한다. 운영체제는 우분투 리눅스로 아파티 웹서버가 설치되어 있다. proxy server 역할을 하는 컴퓨터의 IP는 192.168.1.119이다.

ssh 클라이언트를 이용해서 ssh 터널을 생성한다. 8080 포트로 향하는 데이터를 80 포트, 즉 웹 서버로 보내겠다는 의미다.
```
 app-server # ssh -R 8080:localhost:80 yundream@192.168.56.1 
 
```

Home PC와 proxy server사이에 SSH 터널을 만든다.

home-pc # ssh -L 8080:localhost:8080 yundream@192.168.1.119

localhost의 8080으로 향하는 데이터를 prox server의 8080으로 보내겠다는 의미다.

이제 웹 브라우저로 테스트하면 된다. 주소는 http://localhost:8080으로 하면 된다.

원칙적으로 애플리케이션 서버는 사설망 환경이므로 서비스 접근을 할 수가 없으나, proxy server의 중계로 웹 서비스를 받는 걸 확인할 수 있을 것이다.

3.1.2 구축 테스트 - Windows

윈도에서는 공개 ssh 클라이언트인 putty를 이용해서 SSH 터널을 뚫을 수 있다.

proxy server의 주소는 192.168.1.119이다.

보낸 사람 Linux
Connection > SSH > Tunnels에서 터널을 설정한다.
1. source port는 8080 이다.
2. destination은 localhost:8080이다.
  
  보낸 사람 Linux
로그인을 한다.
브라우저를 이용해서 테스트 한다. 주소는 http://localhost:8080이다.

3.2 SOCKS 기반 Proxy 서버 구축

포트 포워딩 기반의 프록시 서버는 간단하게 구축할 수 있기는 하지만, 서비스 포트를 다양하게 할 수 없다는 단점이 있다. 여러 서비스를 이용하기 위해서는 서비스 개수만큼 SSH 터널을 뚫어야 한다. 하나의 SSH 터널에서 동적으로 서비스 포트를 이용할 수 있다면 어떨까.

openssh는 dynamic port forwading 기능을 지원한다. 이 기능을 이용하면 클라이언트는 SOCKS proxy를 설정하는 것으로 다양한 서비스를 이용할 수 있다. ie, firefox와 같은 웹 브라우저를 이용해서 많은 네트워크 프로그램들이 SOCKS를 지원한다.

proxy server : 8080 포트를 연다. -D 는 dynamic port forwarding 옵션이다.
```
# ssh -D 8080 yundream@application.server 
 
```

Home PC : 8080 포트로 터널을 만든다.

# ssh -L 8080:localhost:8080 yundream@proxy.server

이제 Home PC에서는 socks를 이용해서 Application에 서비스를 요청할 수 있다. 이 경우 클라이언트 프로그램이 socks를 지원해야 한다. 대부분의 웹 브라우저는 socks를 지원한다. 혹은 tsocks와 같은 프로그램을 이용해서 클라이언트 설정 없이, socks 위에서 클라이언트를 실행할 수도 있다.

# tsocks w3m http://192.168.56.5 
# tsocks ssh yundream@192.168.56.5

3.3 장점

openssh를 이용해서 proxy 서버를 구현할 때 얻을 수 있는 장점은 다음과 같다.

때때로 openssh는 가난한 자를 위한 프록시 서버라고 불려지기도 한다. 그만큼 저렴하고 간단하게 구축 할 수 있다는 의미다.
OpenSSL기반의 강력한 암호화 알고리즘을 지원한다.
PAM 모듈을 개발해서, 자체 인증 환경을 갖출 수 있다.
운영체제에 관계 없이 사용할 수 있는 서버/클라이언트가 준비되어 있다.

category_management

Contents