我的设置
ISP 提供的路由器(网关)位于 1Gbit/100Mbit 光纤线路上,还有一个 openwrt 路由器(路由器)。网关不支持桥接模式,因此我按照指南操作穷人桥模式,即将路由器设置为网关上的 DMZ 主机并将其连接到路由器上的 wan 接口(执行双重 nat)。
问题
问题是由于 openwrt 没有进行硬件 nat,我只能获得大约 270Mbit 的速度,并且 sirq 非常高(我猜这会导致其他性能问题)。
解决方法
我没有网关的管理员权限,但网关支持添加第二个 IP。因此,我设置了一个来自内部网络的 IP,并将另一根电缆从路由器的局域网连接到网关,本质上是桥接两个网络(广域网和局域网),并将 openwrt 中的默认路由更改为来自内部网络的网关 IP。现在,由于路由器充当交换机,传出流量通过网关,内部网络上的主机可以达到高达 1gbit 的速度。
对于传入流量,我已确保标记传入数据包,以便它们从 wan 接口路由回来,从而公开的服务可以正常工作。
安全(?)
我的问题是上述设置存在哪些安全风险(如果有的话)。由于传入流量将从网关流向路由器的 WAN 接口(因为它设置为 DMZ 主机),因此路由器的防火墙将保护内部网络。我看不出网关如何被黑客入侵,但即使被黑客入侵,如果我不使用路由器而只使用提供的 ISP 设备(即网关),那会有什么不同?