Das habe ich irgendwo gelesen
(Anstatt NAT auf dem Hauptrouter auszuschalten, können Sie den Hauptrouter so konfigurieren, dass er den erforderlichen Datenverkehr an die beiden anderen Router weiterleitet, ohne dort NAT auszuführen. Auf diese Weise können Sie die mit dem Ausschalten von NAT verbundenen Sicherheitsbedenken vermeiden und den beiden anderen Routern weiterhin ermöglichen, NAT für ihre jeweiligen Netzwerke zu handhaben.)
Wäre dies eine gute Idee, da ich kein doppeltes NAT möchte und daher NAT am Hauptrouter ausschalten möchte und der zweite Router NAT durchführt? Gibt es da irgendwelche Sicherheitsbedenken?
Der zweite Router wird als privates Netzwerk verwendet (Topologie) Modem > Hauptrouter (kein Bridge-Modus) > Sekundär- und Drittrouter, alle mit eigenen internen IPs
Antwort1
Es ist kein Sicherheitsproblem. Sie verwenden Firewalls, um die Sicherheitsprobleme zu lösen – und Sie können auch ohne NAT Firewall-Regeln haben; sie beeinflussen sich nicht gegenseitig. (Tatsächlich ist auch bei aktiviertem NAT eine Firewall erforderlich, um das Eindringen lokaler Pakete zu verhindern.)
Wahrscheinlicher ist jedoch, dass es einfach nicht funktioniert. Der Hauptzweck eines solchen NAT besteht darin, sicherzustellen, dass Pakete, die ins Internet gehen, öffentlich erreichbare Rücksendeadressen haben (also damit Server Ihnen antworten können). Aber wenn Ihre internen Router private Adressen haben (und wie üblich NAT an ihre eigene Adresse senden), ist es für sie völlig nutzlos, irgendetwas per NAT zu senden – Sie senden immer noch Pakete mit privaten Adressen ins Internet, als ob Sie überhaupt kein NAT hätten.
Dies würde nur funktionieren, wenn Sie mehrere öffentliche IP-Adressen hätten, eine für jeden Router. Wenn Sie nur eine Adresse haben und diese dem Edge-Router zugewiesen ist, müssen Sie praktisch am Edge NAT verwenden.