Pe de altă parte, puteți vedea adesea întrebări legate de inaccesibilitatea rețelelor de la distanță prin tuneluri din cauza unor reguli insuficiente de mascare. Procesul de încărcare a firewall-ului la 60.000 p / s este același în ambele cazuri, pachetele din aceeași rețea nu sunt tratate de regulile NAT. IMHO, dacă nu mai există diferențe, aceasta este mai degrabă o chestiune de preferințe în situații specifice și ambele opțiuni, ca și celelalte, au domeniile lor de aplicare. În cazul meu, există o mulțime de interfețe WAN și se schimbă adesea, iar subnțelele locale și permanente sunt permanente, deci este mai convenabil să difuzați pe baza src. adresa și performanța fierului este mai mult decât suficient pentru a întrerupe disponibilitatea unor rețele pentru alții utilizând filtrul de firewall / ip.
HAWK. în cadrul aceleiași rețele, pachetele nu intră deloc în poarta de acces, dar tot ceea ce ajunge la poarta de acces în cea de-a doua abordare va fi tratată de regulile NAT, care sunt mult mai resurse decât un firewall. Când aveți multe interfețe WAN, este mai potrivit să creați o listă de interfețe și să creați o regulă pentru aceasta. Traficul de mască pe gama rețelei locale este o ocupație proastă, care nu are contraindicații "pe frunte", dar va juca o glumă proastă dacă nu va fi luată în considerare în viitor. Este ca și cum mersul cu un pistol încărcat împușcat de la siguranță, este doar o abordare și arome, cineva îi place să se descarce și să pună siguranța, unii nu, pentru că nu există nici o diferență =)
Eugene Bychenko. Alexander Romanov. Mai devreme într-un fel nu am acordat o importanță faptului că mă lokalki prin interfața NAT, astfel încât punct de vedere istoric, dar nu au probleme cu disponibilitatea nu a fost de rețele) Cu toate acestea, aceasta nu împiedică, însă, desigur, toate pentru a re-regla în funcție de recomandările .
Vă mulțumim pentru răspunsurile dvs. exhaustive, ați ajutat să înțelegeți aceste subtilități.