서비스 접속이 안될때 ip, port 체크 항목

지금 일하는 곳은 베트남 현지 개발자들도 있습니다. 그 개발자들에게 개발 환경을 열어줘야 하는데 접속이 안된다고 하면서 자기 IP를 보내주더군요. 나중에 보니 사설 IP였습니다.  말도 안통하는데 그 개발자의 고집때문에 하루 가까이 삽질하느라 시간 까먹어 스트레스를 받았습니다. 그래서 이참에 점검해야 할 항목을 정리해 봤습니다.

접속이 안되요~

devops를 하게 되면 기간이 긴 도돌이표라 인력 투입, 조정이 빈번해 집니다. 이경우 사무실에서만 일하면 상관없는데 개발 인력이 재택을 하게 되면 처음 통과 의례처럼 거치는 사항이 있습니다.

장비(서비스 또는 사이트)에 접속이 안돼요~ 사무실에선 잘됐는데~

대개 SI 프로젝트는 설계 -> 구현 단계 등에서 개발/검수 장비등을 받을때 한번 발생하는 문제이지만 devops에서의 빈도는 좀 더 높습니다. 이 문제를 해결하기 위해 자신의 환경을 파악해야 하는데 이해를 잘 못하는 경우가 많습니다. 다음순으로 점검합니다.

서비스는 잘 떠 있는가?

당연히 테스트 할때 서비스는 잘 떠있어야 겠지요. 그걸 테스트할 방법으로 port가 열려 있는가를 확인하게 됩니다. 보통 이렇게 명령어를 사용합니다.

netstat -nap | grep [서비스 포트 번호]

이렇게 해서 잘 떠 있으면 다음 단계로~ curl 명령어로 그 장비안에서 해당 포트에 직접 콜을 해봅니다. html 코드거나 json  형식으로 응답이 오면 일단 서비스는 잘 떠 있다고보면 되겠지요. 그래도 개발자 PC에서 안된다면 네트워크 설정 문제 입니다.

OS자체 방화벽 상태는?

여기 까지 왔는데도 외부에서 접속이 안된다면 방화벽 문제일텐데요. 일단 내부 방화벽을 꺼보고 테스트를 해봅니다. centos 계열(rockey, oracle linux 포함)에서는 firewalld로 확인합니다.

systemctl stop firewalld

이렇게 해서 접속이 된다면 OS 자체 방화벽에 걸리는 것이므로 방화벽에 접속 ip를 넣어주거나 개발 환경이면 그냥 꺼둡니다(관리항목을 줄이기 위해 OS 자체 방화벽을 상용에서도 꺼두는 곳도 있습니다). 방화벽을 꺼도 접속이 안되면 다음 단계로~

외부 방화벽에 접근 허용 아이피는 잘 등록되어 있는가?

이 경우면 보통 클라우드를 쓴다면 네트워크 보안 설정 또는 방화벽 설정 문제일 겁니다. 이건 끄기가 어려우니 한시적으로 any로 열어서 확인해 보는 테스트 등으로 확인해 보시면 됩니다. 이때 접속이 되더라? 그럼 이제부턴 접속 ip를 찾아야 합니다.

접속 ip를 찾는법

대부분 해당 개발자에게 접속 ip가 뭐냐 라고 물어보면 어느정도 경험이 있는 개발자는 자기 PC에 할당된 사설 ip가 아닌 외부망에 노출된 ip를 알려 줍니다. 이걸 찾는 방법은 간단합니다. 네이버 같은데서 '내 아이피 확인' 이라는 검색어를 입력하면 다음과 같이 내 PC가 외부망에 노출된 공인 ip를 표시해 줍니다. 실제 방화벽에서 오픈해야 하는건 이러한 공인 아이피 입니다. 오늘날에 대부분의 인터넷 환경은 공인 ip가 포화상태라서 공유기 등에서 사용자 PC에 사설 ip가 할당되고 이게 외부망으로 나올때 공인 ip로 변환되서 노출됩니다. 

내 아이피 확인 결과

마무리

이걸 찾을 자신이 없으면 회사 인프라에서 제공되는 vpn을 이용하는 것도 방안입니다. 오히려 vpn이 제공되는 환경이라면 이를 적극 활용하는게 보안 준수 차원에선 맞다고 생각합니다. 이런 방화벽 오픈 작업을 할때 담당자에게 자기 PC의 로컬 ip를 백날 캡쳐해서 보내줘봐야 소용 없습니다. 위의 내용 보시고 적절한 ip를 찾아 서로 삽질해서 시간 낭비 안하게 조치하는게 좋겠습니다. 갑자기 옛날에 신입 개발자에게 니 ip가 뭐니 했을때 127.0.0.1이요라는 답을 들었을때가 생각나는군요. 에구. 속터져.