Mam stosunkowo złożoną sieć biura domowego / małego biura - używam dwóch routerów NAT / zapory sieciowej (NAT), aby zapewnić strefę DMZ (strefa zdemilitaryzowana) dla taniego serwera sieciowego. Zasadniczo nie chcę, aby kompromis (inaczej pwnage) serwera WWW pozwalał na łatwy dostęp do komputerów w sieci prywatnej. Oto prosty schemat konfiguracji rzeczy:
INTERNET --- Zewnętrzny router NAT --- Wewnętrzny router NAT --- Prywatna sieć LAN | Serwer WWW
Zewnętrzny router zezwala na porty 80 i 443, które są przekazywane do serwera WWW. Wewnętrzny router nie pozwala na nic . Teoria: w przypadku naruszenia bezpieczeństwa serwera WWW, prywatne komputery LAN są nadal chronione przez wewnętrzny router.
Przekaż: Niedawno kupiłem Apple Airport Extreme, aby zastąpić istniejący wewnętrzny router NAT. Kiedy podłączyłem nowy Airport Extreme do zewnętrznego routera, narzędzie Airport Utility narzekało podczas instalacji, że korzystam z konfiguracji „podwójnego NAT”. Byłem zaskoczony - nigdy wcześniej nie widziałem takiej wiadomości z routera i nigdy nie spotkałem się z problemem z podwójną konfiguracją NAT. Od lat korzystam z podwójnej konfiguracji NAT.
Dlaczego więc podwójne NAT jest wystarczająco złe, że mój Airport Extreme chce mnie o tym ostrzec i zasugerować użycie trybu pomostowego? Pomijając oczywiste względy wydajności / opóźnień, dlaczego NAT na NAT byłby czymś złym? Dzięki!
źródło
W niektórych przypadkach identyfikacja podwójnego NAT na lotnisku jako ekstremalna / ekspresowa jest błędna.
Wytłumaczę:
Mam ATA (analogowy adapter telefoniczny), który jest telefonem stacjonarnym opartym na VoIP, który wykorzystuje istniejące połączenie internetowe. Operator telefonii stacjonarnej stawia tę usługę ATA przed routerem, konfiguruje ją tak, aby łączyła się z Internetem, pozwala wykonywać QoS (zabiera część przepustowości, aby połączenia przychodziły zawsze) i oddaje resztę routerowi. Po takim ATA powiązałem mój Airport Express, a Airport Express ostrzegł mnie przed „Double NAT”.
Właściwie to nie był problem. ATA poda Airport Express jedynie adres IP (192.168.2.2), który jest mapowany 1: 1 na rzeczywisty (zewnętrzny) adres IP (1.2.3.4). Wszystkie zewnętrzne porty 1.2.3.4 są przekazywane do wewnętrznego 192.168.2.2. Kiedy Twój Airport Express robi NAT, nie ma nic złego. Na przykład, jeśli chce udostępnić 10.0.0.5:5555 zewnętrznie, to:
Kiedy Airport Express zobaczy „192.168.xx” na porcie WAN, automatycznie woła „Double NAT!”. To, czy jest to problem, czy nie, zależy od okoliczności.
źródło