Chr*_*Rea 5 networking security router nat
我有一个相对复杂的家庭办公室/小型办公室网络——我使用两个 NAT(网络地址转换)路由器/防火墙为廉价的牺牲 Web 服务器提供DMZ(非军事区)。基本上,我不希望 Web 服务器的妥协(又名 pwnage)以轻松允许访问专用网络上的 PC。这是我如何设置事物的简单图表:
INTERNET --- 外部 NAT 路由器 --- 内部 NAT 路由器 --- 私有局域网
|
万维网服务器
外部路由器允许端口 80 和 443 进入,转发到 Web 服务器。内部路由器不允许任何东西进入。 理论:如果 Web 服务器受到威胁,私有 LAN PC 仍然受到内部路由器的保护。
转发:我最近购买了 Apple Airport Extreme 来替换现有的内部 NAT 路由器。当我将新的 Airport Extreme 插入外部路由器时,Airport Utility 在设置过程中抱怨我使用的是“双 NAT”配置。我很困惑——我以前从未见过来自路由器的这样的消息,也从未遇到过双重 NAT 设置的问题。多年来,我一直在进行双 NAT 设置。
那么,为什么双 NAT 如此糟糕,以至于我的 Airport Extreme 想要警告我并建议改用桥接模式?撇开明显的性能/延迟考虑不谈,为什么在 NAT 之上的 NAT 是一件坏事?谢谢!
实际上,由于齿轮交换,我最近在重新配置时在我的设置中发生了类似的错误。
双 NAT 消息被设计为对可能的病态网络设置的警告,但我认为它无关紧要,尤其是当您说您已经运行此设置一段时间时。事实上,现在许多 ISP 在他们的 DSL 或电缆调制解调器上使用 NAT,其中每个客户已经“在路由器后面”,可以这么说,即使有一个设备直接连接到调制解调器。一旦客户为他们的家添加了无线路由器,他们就会处于双 NAT 情况。显然,这对大多数人来说似乎效果很好。
根据我的研究,似乎有一些应用程序,主要是工业级 VPN 和其他应用程序,它们在 OSI 堆栈的较低层操作数据,如果它们开始在数据包内部四处闲逛,可能会打嗝。一个特定的 Cisco VPN + 防火墙设置是我遇到的一个例子。作为另一个例子,在双 NAT 环境中某些 VoIP 实现的可靠性似乎是一个有争议的问题。
正如您所指出的,由于额外的跃点和每个路由器正在完成的工作,它几乎肯定会引入一些少量的额外延迟,但除非您是一名有竞争力的游戏玩家……嗯。
编辑:正如凯文在下面指出的那样,UPnP 也可能会在双 NAT 情况下出现问题,但是提示这个问题的 Airport Extreme无论如何都不支持 UPnP。
| 归档时间: |
|
| 查看次数: |
4802 次 |
| 最近记录: |