Ich habe ein relativ komplexes Heimbüro / kleines Büronetzwerk - ich verwende zwei NAT (Network Address Translation) -Router / Firewalls, um eine DMZ (DeMilitarized Zone) für einen billigen Opfer-Webserver bereitzustellen . Grundsätzlich möchte ich keine Kompromisse (auch bekannt als pwnage) des Webservers eingehen, um den Zugriff auf die PCs im privaten Netzwerk zu ermöglichen. Hier ist ein einfaches Diagramm, wie ich Dinge eingerichtet habe:
INTERNET --- Externer NAT-Router --- Interner NAT-Router --- Privates LAN | WWW-Server
Der externe Router lässt die Ports 80 und 443 zu, die an den Webserver weitergeleitet werden. Der interne Router lässt nichts zu. Theorie: Wenn der Webserver kompromittiert wird, sind die privaten LAN-PCs weiterhin durch den internen Router geschützt.
Vorwärts: Ich habe kürzlich einen Apple Airport Extreme gekauft, um den vorhandenen internen NAT-Router zu ersetzen. Als ich das neue Airport Extreme an den externen Router anschloss, beklagte sich das Airport Utility während des Setups, dass ich eine "Double NAT" -Konfiguration verwende. Ich war verwirrt - ich habe noch nie eine solche Nachricht von einem Router gesehen und hatte noch nie ein Problem mit einem Double-NAT-Setup. Ich bin seit Jahren auf einem Double-NAT-Setup.
Warum ist Double NAT so schlecht, dass mein Airport Extreme mich warnen und stattdessen den Bridged-Modus vorschlagen möchte? Abgesehen von den offensichtlichen Überlegungen zu Leistung und Latenz ist NAT eine schlechte Sache. Vielen Dank!