为什么要禁用 NAT 直通?

为什么要禁用 NAT 直通?

根据本文NAT 直通是路由器的一项功能,可启用来自 LAN 计算机的出站 VPN 连接。我的华硕路由器具有三种 VPN 协议的 NAT 直通功能:PPTP、L2TP 和 IPSec。其中,只有 PPTP 是默认启用的。

禁用 NAT 直通的原因是什么?在我看来,该功能很有用,而且对安全无害。此外,PPTP 是唯一默认启用的协议,这有什么原因吗?

答案1

出于安全考虑,默认情况下禁用从外部网络到内部的 NAT。VPN 直通与 NAT 并不完全相同。VPN 用于连接外部网络,这样您与外部网络之间的所有内容都会认为您是另一个网络(您已使用 VPN 连接)的一部分。

默认情况下,您不需要允许用户加入其他网络(出于安全考虑)。但我认为华硕默认打开了 PPTP 协议,因为它非常常用(虽然它不应该这样做,因为它的安全性完全被破坏了),而且大多数用户从不访问路由器的 Web 界面,所以如果购买新路由器后他们的旧 PPTP-VPN 无法工作,他们会很生气。

我个人会将它们全部打开,但我会使用更专业的防火墙系统来过滤流量。如果您不打算使用它们,请将它们全部禁用,并在需要时启用它们。

编辑:(为什么我的网络用户加入其他网络是一个安全问题?)

VPN 用于远程加入另一个网络,这样您的 PC 和 VPN 服务器之间的所有内容都会认为您是 VPN 服务器网络的一部分。这意味着您将从 VPN 服务器池中获得一个新的内部 IP 地址,并且您将与本地 LAN“断开连接”,即您无法打印到家庭网络打印机,也无法访问 NAS 存储(注意!<-- 是默认设置,当然您可以应用一些高级 VPN 和接口路由来启用这些)。

当您成为另一个网络的一部分并且启用了 VPN 防火墙直通时,您的 PC 和 VPN 服务器之间的连接将绕过路由器的所有防火墙规则。如果 VPN 客户端可以联系 VPN 服务器,则服务器也可以联系您的 PC(客户端)。现在,如果您网络中的某个人连接到不安全或恶意的 VPN 服务器,这会导致一个问题:服务器上的黑客现在可以通过 VPN 访问您家的 LAN。

VPN 隧道是双向隧道(如果您使用一些技巧,则并非总是如此)。通过连接到 VPN 服务器,如果 VPN 服务器是恶意的或某处配置错误,您网络内部的用户可能会意外地将整个网络向外部开放。您的 PC 上可能存在的病毒也可能会在您不知情的情况下打开 VPN 连接,这又引出了另一个故事,即您的 LAN 内的黑客可以做的一切(从窃取密码到破坏数据)。

如果您不一定需要 VPN,请将其关闭。这也是所有防火墙和路由的基本规则:默认阻止所有端口、协议和接口,并在需要时打开它们。

—AirPett

相关内容