🤦‍♀ 80 포트가 열리지 않는다

최근 홈서버를 구성하고 블로그를 시작했다. 참고로 본 블로그는 ghost 플랫폼을 docker에 build하여 서비스 하고있다. 웹 개발로 먹고살았던 과거가 있어 별로 어렵지 않게 설치할 수 있었다.

(본인은 현재 다른 도메인의 연구를 하고있지만,  과거 웹개발 경력이 있다)

모든 설치를 완료하고 이제 외부 망 테스트를 위해 작업 중이던 맥북의 와이파이를 연결 해제하고 아이폰 핫스팟을 연결했다. 그리고 본 블로그 서버의 주소를 입력했다. 근데 왠걸, 내부 망에서는 잘 동작하던 사이트가 외부 망에서는 연결이 되지 않는 것이였다. 방화벽부터 L3스위치의 DMZ 세팅까지 10번은 더 확인했다. 문제는 없었다.

이상한 부분을 발견했다. docker-registry 서버로 임시 개방해 놓은 포트는 또 접속이 잘 되는 것이다. 뭔가 이상해서 nmap 으로 포트 스캔을 시도해보았다.

$ nmap ${server_ip}

---output---
Starting Nmap 7.94 ( https://nmap.org ) at 2023-08-20 15:54 KST
Nmap scan report for ***.***.***.***
Host is up (0.021s latency).
Not shown: 994 filtered tcp ports (no-response)
PORT     STATE  SERVICE
443/tcp  open   https

Nmap done: 1 IP address (1 host up) scanned in 42.43 seconds

오잉?, 80번 포트 개방이 되지 않고 있었다. 언뜻 생각해보니 가정용 인터넷 망 중에는 ISP에서 80번 포트를 deny하는 경우가 있다는 것을 들어 본 기억이 났다. 불행 중 다행으로 443포트는 개방이 되어있어 https 접속해보니 역시 잘 접속이 되고있었다. ISP에 문의를 해 포트 개방 요청을 해볼 수 있으나, 당장 문제를 해결해보고싶었다.

문제: ISP에서 80번 포트를 개방해주지 않는다.

몇 가지 방법을 생각해봤다. 현재 도메인을 등록해 놓은 DNS 서버인 Cloudflare 의 Page Rules로 http(80) 프로토콜을 https(443)으로 리다이렉션 하는 것이다.

Alwats Use HTTPS 세팅을 사용하면 cloudflare가 http를 https로 리다이렉션해준다. 근데 한가지 문제가 발생했다.

Page Rules 을 활용하기 위해서는 cloudflare의 proxy 를 사용해야한다. 하지만, 이 경우에는 80번 포트 개방이 또 필요했다. 딜레마가 시작됬다.

Solution 1.

혹여나 하는 마음에 cloudflare의 다른 기능들을 확인하다 Origin Rules 을 발견했다. 여기에는 cloudflare proxy로 들어온 데이터를 host server 의 내가 원하는 포트로 Rewrite 할 수가 있었다.

이제 j911.me 로 접속하는 모든 도메인은 내가 설정한 1234 포트로 내 서버와 통신하게 된다.

이를 위해 nginx의 conf 파일을 다음과 같이 수정하고 1234 /tcp 포트를 방화벽에서 allow 했다.

# j911.me.conf in /etx/nginx/conf.d/

server {
    server_name j911.me;
    listen 1234;

    location / {
      proxy_pass                          http://ghost-server;
      proxy_set_header  Host              $http_host;
      proxy_set_header  X-Real-IP         $remote_addr; 
      proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
      proxy_set_header  X-Forwarded-Proto $scheme;
    }
}

$ sudo ufw allow 1234

이후 cloudflare의 proxy도 enable 하였다.

놀랍게도 내가 생각한 그대로 동작했다. 이제 블로그는 온라인이 되었다.

Solution 2.

위 방법으로 블로그는 온라인이 되었지만 여전히 고민은 계속되었다. 일단 자체 SSL 인증서를 사용하지 못하는 것과, 근본 없어보이는 1234 포트를 사용하는 것이 스트레스였다.

다시 해결해보자고 다짐하고 nginx 에 SSL/HTTPS 프로토콜을 다시 활성화 하였다.

그리고 다시 cloudflare을 헤집고 다니다 SSL/TLS Full (strict) 를 발견했다. 이를 쓰면 서버의 인증서와 cloudflare의 proxy를 함께 쓸 수 있다.

세팅을 완료하고 앞서 소개한 Always Use HTTPS 를 다시 활성화 하였다.  놀랍게도 cloudflare의 SSL과 서버의 SSL이 동시에 인증을 수행하고 서버가 다시 온라인 되었다.

역시 노력해서 안되는 건 없나보다. 나는 443 포트 하나만으로 블로그를 정상적으로 online 시켰다. ISP에 전화할 일이 사라져 기분이 좋다.