Это то, что я где-то прочитал
(Вместо того, чтобы отключать NAT на основном маршрутизаторе, вы можете рассмотреть возможность настройки основного маршрутизатора для пропуска необходимого трафика к двум другим маршрутизаторам без выполнения NAT на нем. Таким образом, вы можете избежать проблем безопасности, связанных с отключением NAT, и в то же время разрешить двум другим маршрутизаторам обрабатывать NAT для своих сетей.)
Будет ли это хорошей идеей, поскольку мне не нужен двойной NAT, и поэтому я хотел бы отключить NAT на главном маршрутизаторе, а второй маршрутизатор будет выполнять NAT. Возникнут ли какие-либо проблемы с безопасностью?
Второй маршрутизатор будет использоваться как частная сеть (топология) Модем > Основной маршрутизатор (без режима моста) > Вторичный и третий маршрутизаторы, все на своих внутренних IP-адресах
решение1
Это не проблема безопасности. Вы используете брандмауэры для решения проблем безопасности – и у вас все еще могут быть правила брандмауэра даже без NAT; они не влияют друг на друга. (Действительно, даже при включенном NAT брандмауэр все еще требуется, чтобы не допустить проникновения локальных пакетов.)
Но более вероятно, что это просто не сработает. Основная цель такого NAT — гарантировать, что пакеты, отправляемые в Интернет, имеют общедоступные обратные адреса (т. е. чтобы серверы могли вам ответить). Но если у ваших внутренних маршрутизаторов есть частные адреса (и NAT на их собственные адреса, как это обычно бывает), то им совершенно бесполезно что-либо NATить — вы все равно отправляете пакеты с частными адресами в Интернет, как если бы у вас вообще не было NAT.
Это сработает только если у вас несколько публичных IP-адресов, по одному для каждого маршрутизатора. Если у вас только один адрес и он назначен на пограничный маршрутизатор, то вам, по сути, придется использовать NAT на границе.