KompУ меня относительно сложный домашний офис/малый офис сеть-я использую два NAT (преобразование сетевых адресов) маршрутизаторы/межсетевые экраны, чтобы обеспечить DMZ (демилитаризованная зона) для дешевого жертвенного веб-сервера. В принципе, я не хочу компромисса (a.k.a. pwnage) веб-сервера, чтобы легко разрешить доступ к ПК в частной сети. Вот простая диаграмма того, как у меня все настроено:
INTERNET --- External NAT Router --- Internal NAT Router --- Private LAN
|
WWW Server
внешний маршрутизатор позволяет порты 80 и 443 в, направляется на веб-сервер. Внутренний маршрутизатор позволяет ничего in. Теория: если веб-сервер скомпрометирован, частные компьютеры локальной сети по-прежнему защищены внутренним маршрутизатором.
вперед: я недавно купил Apple Airport Extreme для замены существующего внутреннего маршрутизатора NAT. Когда я подключил новый AirPort Extreme к внешнему маршрутизатору, утилита Airport пожаловалась во время установки, что я использую конфигурацию "Double NAT". Я был озадаченный - я никогда не видел такого сообщения от маршрутизатора прежде и никогда не испытывал проблемы с двойной установкой NAT. Я был на двойной установке NAT в течение многих лет.
Итак, почему двойной NAT настолько плох, что мой AirPort Extreme хочет предупредить меня об этом и предложить использовать мостовой режим? Отложив очевидные соображения производительности / задержки в сторону, почему NAT поверх NAT будет плохой вещью? Спасибо!
2986
