Esto es lo que he leído en alguna parte.
(En lugar de desactivar NAT en el enrutador principal, puede considerar configurar el enrutador principal para pasar el tráfico necesario a los otros dos enrutadores sin realizar NAT en él. De esta manera, puede evitar los problemas de seguridad asociados con desactivar NAT mientras aún permitiendo que los otros dos enrutadores manejen NAT para sus respectivas redes).
¿Sería una buena idea ya que no quiero doble NAT y, por lo tanto, me gustaría desactivar NAT en el enrutador principal y el segundo enrutador hará NAT? ¿Habrá algún problema de seguridad?
El segundo enrutador se utilizará como red privada (Topología) Módem > Enrutador principal (sin modo puente) > Enrutadores secundarios y terceros, todos con sus propias IP internas
Respuesta1
No es una cuestión de seguridad. Se utilizan cortafuegos para resolver los problemas de seguridad y aún se pueden tener reglas de cortafuegos incluso sin NAT; no se afectan entre sí. (De hecho, incluso con NAT habilitado, aún se requiere un firewall para evitar la entrada de paquetes locales).
Sin embargo, lo más probable es que simplemente no funcione. El objetivo principal de dicha NAT es garantizar que los paquetes que salen a Internet tengan direcciones de retorno accesibles públicamente (es decir, para que los servidores puedan responderle). Pero si sus enrutadores internos tienen direcciones privadas (y NAT a su propia dirección, como es típico), entonces es completamente inútil que realicen NAT en cualquier cosa: seguirá enviando paquetes con direcciones privadas a Internet, como si no los tuviera. No tengo NAT en absoluto.
Sólo funcionaría si tuvieras varias direcciones IP públicas, una para cada enrutador. Si solo tiene una dirección y está asignada al enrutador de borde, entonces prácticamente tendrá que realizar NAT en el borde.