Риски безопасности при переадресации портов на второй маршрутизатор

Вы пишете «убрать риск», но я не думаю, что вы явно написали, какой была альтернатива. Если это против использования сервера Minecraft, я думаю, что вы добавляете (незначительный) риск, предполагая, что все настроено правильно.

Если вы пересылаете данные на маршрутизатор, который находится внутри вашей «обычной» локальной сети, если ваш сервер Minecraft или второй маршрутизатор взломан, то ваш злоумышленник получил доступ к вашей внутренней сети. Если вы используете свой сервер Minecraft в отдельной локальной сети (то есть у вас будет две внутренние локальные сети), вы, вероятно, в порядке. Альтернативой этому является размещение сервера Minecraft непосредственно за вашим интернет-маршрутизатором, а затем создание новой локальной сети за вторым маршрутизатором, подключенным к вашему интернет-маршрутизатору. Если все сделано правильно, вы сможете установить соединение с вашим сервером Minecraft из сети второго маршрутизатора, но не наоборот.

В зависимости от того, насколько глубоко вы хотите получить объяснение и насколько вы способны настроить сервер и сеть, ситуация с двумя NAT / PAT может быть очень безопасной, но сложной для управления. особенно если ваша установка работает долго, и вдруг что-то меняется / ломается. Тогда вам, скорее всего, понадобится более длительный сеанс отладки. Но это не причина для того, чтобы этого не делать;) Итак, как уже писал @lungj, вторая внутренняя локальная сеть будет очень безопасной. Особенно, если ваш сервер Minecraft будет действительно скомпрометирован, вы можете легко отрицать любую связь из этой подсети.

Вопрос в том, нужен ли вам второй маршрутизатор для ретрансляции, если ваш текущий маршрутизатор уже способен обрабатывать несколько подсетей и защищать связь между ними. Это также значительно снизит уровень сложности.

 +~~~~~~~~~~~~~~+ ( Internet ) ) ( +~~~~~+^~~~~~~~+ || || || +-----v+-------+ | Router1 | | | +-----+^-------+ || || +-----||------------------------------+ +----------------------------------------+ | ||LAN segment 1 (private) | | LAN segment 2 (DMZ) | |-----||------------------------------| |----------------------------------------| | || | | | | || | | | | || +--------------+ | | +--------------+ | | |+-------------+ Router2 +------------------------> MinecraftSRV | | | +^-------------> | | | | | | | || +--------------+ | | +--------------+ | |+----v+-----------+ | | | || other Hosts...| | | | || | | | | |+-----------------+ | | | +-------------------------------------+ +----------------------------------------+ 

Вот небольшая диаграмма предполагаемого (комплексного) растворения. Если у маршрутизатора 1 может быть второй IP-адрес на другом интерфейсе и хороший межсетевой экран, такая же настройка может быть достигнута без второго маршрутизатора в вашей частной локальной сети.

Если вы настроите его со вторым маршрутизатором, не забудьте добавить статический маршрут на Router1 в DMZ через Router2 для связи внутри сегмента LAN!

Неважно, сколько маршрутизаторов вы поместите между тем, к которому подключен ваш провайдер (обращен к провайдеру), и вашим сервером Minecraft, вам все равно придется открыть порт на маршрутизаторе, обращенном к провайдеру.

Таким образом, вам придется открыть порт на маршрутизаторе, обращенном к провайдеру, и проходить трафик где-нибудь, каким-то образом через вашу локальную сеть.

Если вы хотите отключить входящий трафик, чтобы локальная сеть не видела его или не влияла на него, решение состоит в том, чтобы: A) физически разделить сеть (чего вы не могли бы сделать, если ваш провайдер не предоставил вам 2 IP-адреса), или B) VLAN., который требует, чтобы ваш маршрутизатор поддерживал их.

Вот мои домашние настройки, и краткая иллюстрация ниже, вероятно, должна объяснить вещи. Вам нужен маршрутизатор, который поддерживает VLAN.

OpenWRT позволяет настроить здесь маршрутизатор для назначения разных портов разным VLAN. Трафик, проходящий через разные VLAN, не может видеть друг друга.

Используя эту настройку, трафик, предназначенный для сервера, не пересекает вашу ЛВС, если только кто-то не взломает маршрутизатор.

Вам действительно не нужен отдельный беспроводной маршрутизатор / коммутатор, как у меня, но у меня есть много проводных устройств в моей домашней локальной сети.