NAT, ya sea simple o doble, no tiene nada que ver con la seguridad.
La seguridad es, en última instancia, el trabajo del usuario final. Puede simplemente lanzar algunos puntos de acceso no garantizados y advertir que cualquiera que use esos puntos de acceso debe hacer su propia diligencia debida para asegurarse de que solo se están comunicando con servidores válidos a través de conexiones HTTPS válidas, o usando una VPN confiable. >
Realmente no puede hacer que la propia red sea segura sin requerir que sus usuarios se autentiquen de alguna manera . Como mínimo, la seguridad WiFi básica requiere el uso de WPA2 "Personal" y una clave compartida. Tienes que proporcionar la clave a cada usuario. Usted podría simplemente repartirlo en tarjetas de visita o fichas sueltas en un tablón de anuncios o ponerlo en un cartel en la pared. Incluso si intentas mantenerlo semi-privado, tus usuarios lo van a compartir. Pero al menos los dispositivos individuales tendrán una conexión cifrada única al Punto de acceso y no podrán detectarse entre sí. Por otro lado, alguien podría configurar un AP deshonesto con la misma clave, sus usuarios se conectarán a ese AP deshonesto y el malo podría detectar todo su tráfico.
En lo que respecta a la seguridad de los usuarios en su red, eso depende de ellos. Deben solo usar sitios web y aplicaciones que utilicen el protocolo HTTPS, o usar una VPN. Más que eso, demasiadas aplicaciones no usan HTTPS de manera adecuada, omitiendo por completo las comprobaciones necesarias para verificar que los certificados SSL / TLS de los servidores son válidos. Los programadores a menudo tienen problemas para hacer que las verificaciones de verificación funcionen, por lo que se rinden y activan un interruptor que hace que el protocolo "simplemente funcione", pero a costa de omitir las verificaciones de verificación. Cuando hacen eso, los paquetes se encriptan, pero pueden ser encriptados con una clave deshonesta, posiblemente a través de un envenenamiento de DNS que apunta al usuario hacia un servidor malo, con un malo que retira la conversación completa.
Por lo tanto, realmente no puede garantizar comunicaciones seguras para sus usuarios públicos de WiFi. Ese es su trabajo.