端口转发到第二个路由器的安全风险

Question 1

你写了“消除风险”，但我认为你没有明确写出替代方案是什么。如果反对不运行 Minecraft 服务器，我认为你正在增加（可忽略的）风险，假设一切都设置正确。

如果您将数据转发到“常规”LAN 内的路由器，如果您的 Minecraft 服务器或第二个路由器受到攻击，则攻击者已获得对您内部网络的访问权限。如果您在单独的 LAN 上运行 Minecraft 服务器（因此您最终会有两个内部 LAN），那么您可能没问题。另一种方法是将 Minecraft 服务器直接放在 Internet 路由器后面，然后在连接到 Internet 路由器的第二个路由器后面创建一个新的 LAN。如果操作正确，您应该能够从第二个路由器的网络发起到 Minecraft 服务器的连接，但反之则不行。

Answer

你写了“消除风险”，但我认为你没有明确写出替代方案是什么。如果反对不运行 Minecraft 服务器，我认为你正在增加（可忽略的）风险，假设一切都设置正确。

如果您将数据转发到“常规”LAN 内的路由器，如果您的 Minecraft 服务器或第二个路由器受到攻击，则攻击者已获得对您内部网络的访问权限。如果您在单独的 LAN 上运行 Minecraft 服务器（因此您最终会有两个内部 LAN），那么您可能没问题。另一种方法是将 Minecraft 服务器直接放在 Internet 路由器后面，然后在连接到 Internet 路由器的第二个路由器后面创建一个新的 LAN。如果操作正确，您应该能够从第二个路由器的网络发起到 Minecraft 服务器的连接，但反之则不行。

Question 2

根据您想要解释的深度以及您设置服务器和网络的能力，双 NAT/PAT 情况可能非常安全，但难以管理。特别是如果您的设置运行了很长时间，并且突然出现某些变化/中断。那么您很可能需要更长的调试会话。但这不是不这样做的理由 ;) 因此，正如 @lungj 已经写的那样，第二个内部 LAN 将非常安全。特别是如果您的 Minecraft 服务器真的受到威胁，您可以轻松拒绝该子网中的任何通信。

问题是，如果您的中继需要第二个路由器，或者您当前的路由器已经能够处理多个子网，并防火墙这些子网之间的通信。这也会大大降低复杂性。

      +~~~~~~~~~~~~~~+
      (   Internet   )
      )              (
      +~~~~~+^~~~~~~~+
            ||
            ||
            ||
      +-----v+-------+
      |   Router1    |
      |              |
      +-----+^-------+
            ||
            ||
      +-----||------------------------------+       +----------------------------------------+
      |     ||LAN segment 1 (private)       |       |           LAN segment 2 (DMZ)          |
      |-----||------------------------------|       |----------------------------------------|
      |     ||                              |       |                                        |
      |     ||                              |       |                                        |
      |     ||             +--------------+ |       |              +--------------+          |
      |     |+-------------+   Router2    +------------------------> MinecraftSRV |          |
      |     +^------------->              | |       |              |              |          |
      |     ||             +--------------+ |       |              +--------------+          |
      |+----v+-----------+                  |       |                                        |
      ||   other Hosts...|                  |       |                                        |
      ||                 |                  |       |                                        |
      |+-----------------+                  |       |                                        |
      +-------------------------------------+       +----------------------------------------+

这是建议的（复杂）解决方案的示意图。如果路由器 1 可以在另一个接口上拥有第二个 IP，并且防火墙良好，则可以实现相同的设置，而无需在私有 LAN 中使用第二个路由器。

如果你要设置第二个路由器，请不要忘记添加静态路由在路由器1通过 Router2 进入 DMZ 以便与 LAN 段进行内部通信！

Answer

根据您想要解释的深度以及您设置服务器和网络的能力，双 NAT/PAT 情况可能非常安全，但难以管理。特别是如果您的设置运行了很长时间，并且突然出现某些变化/中断。那么您很可能需要更长的调试会话。但这不是不这样做的理由 ;) 因此，正如 @lungj 已经写的那样，第二个内部 LAN 将非常安全。特别是如果您的 Minecraft 服务器真的受到威胁，您可以轻松拒绝该子网中的任何通信。

问题是，如果您的中继需要第二个路由器，或者您当前的路由器已经能够处理多个子网，并防火墙这些子网之间的通信。这也会大大降低复杂性。

      +~~~~~~~~~~~~~~+
      (   Internet   )
      )              (
      +~~~~~+^~~~~~~~+
            ||
            ||
            ||
      +-----v+-------+
      |   Router1    |
      |              |
      +-----+^-------+
            ||
            ||
      +-----||------------------------------+       +----------------------------------------+
      |     ||LAN segment 1 (private)       |       |           LAN segment 2 (DMZ)          |
      |-----||------------------------------|       |----------------------------------------|
      |     ||                              |       |                                        |
      |     ||                              |       |                                        |
      |     ||             +--------------+ |       |              +--------------+          |
      |     |+-------------+   Router2    +------------------------> MinecraftSRV |          |
      |     +^------------->              | |       |              |              |          |
      |     ||             +--------------+ |       |              +--------------+          |
      |+----v+-----------+                  |       |                                        |
      ||   other Hosts...|                  |       |                                        |
      ||                 |                  |       |                                        |
      |+-----------------+                  |       |                                        |
      +-------------------------------------+       +----------------------------------------+

这是建议的（复杂）解决方案的示意图。如果路由器 1 可以在另一个接口上拥有第二个 IP，并且防火墙良好，则可以实现相同的设置，而无需在私有 LAN 中使用第二个路由器。

如果你要设置第二个路由器，请不要忘记添加静态路由在路由器1通过 Router2 进入 DMZ 以便与 LAN 段进行内部通信！

Question 3

无论你在 ISP 连接的路由器（面向 ISP）和你的 Minecraft 服务器之间放置了多少个路由器，你仍然必须在面向 ISP 的路由器上打开一个端口。

因此，无论如何，您都必须在面向 ISP 的路由器上打开一个端口，并让流量以某种方式穿过您的 LAN。

如果您想隔离传入流量以使 LAN 无法看到或受到其影响，则解决方案是 A) 物理独立的网络（除非您的 ISP 为您提供 2 个 IP，否则您无法做到这一点），或 B) VLAN，这需要您的路由器支持它们。

这是我的家庭设置，下面的简单示意图应该可以解释一切。你确实需要一个支持 VLAN 的路由器。

OpenWRT 允许在这里配置路由器，将不同的端口分配给不同的 VLAN。跨不同 VLAN 的流量无法互相看到。

使用这种设置，除非有人碰巧侵入路由器，否则发往服务器的流量就不可能穿过您的 LAN。

您实际上并不需要像我一样拥有单独的无线路由器/交换机，但我的家庭局域网上有很多有线设备。

Answer