NATルーターのループバックはセキュリティ上の問題ですか？

ほとんどのコンシューマーグレードのルーターはそれを禁止するものではなく、機能しません。

次のシナリオを想像してみてください。これは仮想的なものではなく、自分のコンピュータでtcpdumpを実行するだけで、すぐに実行されます。確認のために、バッファローddwrtからキャプチャしたものです。

プレーヤー：[ルーター：10.0.0.1] [コンピューター1：10.0.0.3] [コンピューター2：10.0.0.4]
外部IP：99.99.99.99、Computer2に転送

• Computer1からルーター[10.0.0.3-> 99.99.99.99]

• ルーターはDNATを使用して宛先を10.0.0.4に変更し、ローカルネットワークにプッシュします
  Router to Computer2 [10.0.0.3-> 10.0.0.4]

• Computer2は、ソースIPに送信することでパケットに応答しようとします。
  Computer2 to Computer1 [10.0.0.4-> 10.0.0.3]

• コンピュータ1：WTF？
  Computer1は99.99.99.99からの応答を期待していましたが、代わりに10.0.0.4からの応答を受け取りました。アドレスが一致しない、接続エラー、RSTパケットが返送された

さて、あなたは尋ねます、なぜそれがComputer2にそれをDNATするとき、ルーターはComputer1からルーターの内部IPへの接続をSNATしないのですか？ SNATルールは、上記のパターンに従わないトラフィックの残りすべてを混乱させるためです。

SNATは、NAT邪魔しないルールセットの作成と維持に多くの時間と注意を払う用意がある場合を除いて、実際には一方向にのみ使用する必要があります。

そして、これについてどのように言っている誰でも先制する：

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

このルールは、NATループバックトラフィックだけでなく、bridgeトラフィック（WiFiネットワークから有線ネットワークなど）にも影響することを指摘します。 WiFiルーターがイライラして壊れるでしょう。ルールはループバックトラフィックのみに一致するように調整する必要がありますが、これは少しトリッキーであり、おそらくパケットのマーキングが含まれます。不可能ではありませんが、ほとんどのルーターで行われるようなエンジニアリングやデバッグはできません。そして確かに危険に満ちています。

用語集：
[〜＃〜] snat [〜＃〜] =ソースNAT（ソースIPの変更）
[〜＃〜] dnat [〜＃〜] =宛先NAT（宛先IPの変更）
[〜＃〜] nat [〜＃〜] =ネットワークアドレス変換