APISIX WAF 연동 완료: plugin_metadata, Juice Shop 테스트, waf-kr zone, DNAT 규칙

2026-03-25 18:19:26 +09:00
parent 4f75b9dffb
commit bc147e3f91
3 changed files with 57 additions and 0 deletions
--- a/infra/openwrt.md
+++ b/infra/openwrt.md
@@ -88,6 +88,19 @@ WAN TCP 80/443 → 192.168.9.1:80/443 (HAProxy)로 DNAT.
 | 03:30 | `/usr/local/bin/backup-openwrt.sh` | 설정 백업 → NAS |
 | 04:00 | `/etc/cdn-filter-update.sh` | BunnyCDN+Cloudflare IP 갱신 |

+## WAN DNAT (fw4)
+
+`/etc/config/firewall`의 redirect 규칙. firewall restart 시 `dstnat_wan` 체인에 반영.
+
+| Name | Port | 대상 | 비고 |
+|------|------|------|------|
+| APISIX-HTTP | :80 | 192.168.9.1:80 | Traefik 메인 |
+| APISIX-HTTPS | :443 | 192.168.9.1:443 | Traefik 메인 |
+| APISIX-WAF-HTTP | :9080 | 192.168.9.1:9080 | APISIX WAF |
+| APISIX-WAF-HTTPS | :9443 | 192.168.9.1:9443 | APISIX WAF |
+
+DNAT 없으면 `input_wan` → `reject_from_wan`으로 차단됨. DNAT이 있어야 `ct status dnat accept`로 통과.
+
 ## 관련 문서

 - [[infra-hosts]] — 서버 목록