가정용 네트워크 리버스 프록시의 규정 준수에 대한 고찰
가정용 광대역에서 리버스 프록시 서비스 사용 시 발생할 수 있는 규정 준수 문제 및 해결 방안에 대한 고찰
Categories:
배경
약 90일 전, 후베이 텔레콤(Hubei Telecom) IPv6 연결 문제를 겪었습니다. 장기간의 관찰과 분석 끝에 다음과 같은 경험을 정리했습니다.
문제 분석
처음에 의심했던 두 가지 가능한 원인:
PCDN 사용 감지
- PCDN을 적극적으로 사용하지는 않았지만
- 소량의 BT(BitTorrent) 다운로드만 있었으며
- 업로드 속도 제한을 적용했으나 문제가 지속됨
홈 서버를 블로그 원본 서버로 사용
- Cloudflare 원본 연결 규칙을 통해 지정된 포트 사용
- 통신사가 이를 “상업적 이용"으로 간주했을 가능성
3개월간의 검증을 거쳐, 문제는 공용 인터넷에 HTTP/HTTPS 서비스 포트를 개방한 데서 기인했을 가능성이 더 높다는 결론을 얻었습니다.
구체적인 현상
IPv6 상태 이상:
- /56 프리픽스는 획득 가능
- 장치에서 글로벌 IPv6 주소 획득 가능
- 하지만 외부 네트워크에 접속 불가
- 광모뎀 브리지 모드로 설정된 라우터에서만 IPv6 정상 사용 가능
Tailscale 연결 이상:
- 원본 서버가 직접 연결 상태로 표시되나 지연 시간이 비정상적으로 높음 (약 400ms)
- 다른 기기는 릴레이를 통해 연결되었지만 오히려 지연 시간이 더 낮음 (약 80ms)
통신사 정책 분석
일부 지역의 통신사는 빈번한 인바운드 HTTP/HTTPS 연결에 대해 서비스 성능 저하 조치를 취하는 경우가 있습니다:
IPv6 서비스 성능 저하
- 주소 할당은 정상적이나
- 라우팅 테이블 누락
- 실제로는 인터넷 연결 불가
P2P 연결 제한
- Tailscale에 직접 연결로 표시되지만
- 실제 지연 시간이 높음
- 대역폭이 제한됨
해결 방안
리버스 프록시 서비스 중단:
- Cloudflare/알리바바 클라우드 ESA 리버스 프록시 비활성화
- 라우터를 여러 번 재부팅한 후 정상으로 복구됨
도메인 스캔 방지: 다음과 같은 일반적인 서브도메인 사용을 피하세요:
- home.example.com - ddns.example.com - dev.example.com - test.example.com모범 사례:
- GUID를 사용하여 무작위 서브도메인 생성
- 규칙적이거나 흔한 서브도메인 명명 방식 피하기
- 스캔 위험을 낮추기 위해 도메인 주기적으로 변경