这是我在某处读到的
(您可以考虑将主路由器配置为将必要的流量传递到另外两个路由器而不在其上执行 NAT,而不是关闭主路由器上的 NAT。这样,您可以避免与关闭 NAT 相关的安全问题,同时仍允许另外两个路由器处理各自网络的 NAT。)
这是一个好主意吗?因为我不想要双重 NAT,因此我想关闭主路由器上的 NAT,第二个路由器将执行 NAT,这会不会存在安全问题?
第二台路由器将用作专用网络(拓扑)调制解调器>主路由器(无桥接模式)>辅助和第三路由器均使用其自己的内部 IP
答案1
这不是安全问题。您可以使用防火墙来解决安全问题 - 即使没有 NAT,您仍然可以拥有防火墙规则;它们不会相互影响。(事实上,即使启用了 NAT,仍然需要防火墙来避免本地数据包进入。)
但更有可能的是,它根本行不通。这种 NAT 的主要目的是确保发送到 Internet 的数据包具有可公开访问的返回地址(即服务器可以回复您)。但是,如果您的内部路由器有私有地址(并且像通常那样 NAT 到自己的地址),那么它们对任何东西进行 NAT 都是完全无用的 - 您仍然会将带有私有地址的数据包发送到 Internet,就像您根本没有 NAT 一样。
只有当您拥有多个公共 IP 地址(每个路由器一个)时,它才会起作用。如果您只有一个地址,并且该地址分配给边缘路由器,那么您几乎必须在边缘进行 NAT。