Как обеспечить, чтобы межсетевой экран не пропускал внешние пакеты в локальную сеть?

Question

Правильно ли я думаю, что в случае NAT и правильной конфигурации брандмауэра не должно быть никаких пакетов с "адресом источника", равным глобальному IP внутри локальной сети?

Или сервер NAT будет сохранять исходный адрес при переводе?

Я наблюдаю за несколькими пакетами внутри локальной сети от "адреса источника", указывающего на глобальные IP-адреса. Означает ли это, что брандмауэр настроен неправильно?

Answer 1

NAT не обязательно означает, что он выполняется на всех интерфейсах. Возможно, но на потребительских маршрутизаторах обычно есть только два типа переводов (упрощенно):

• Заменить адрес источника в исходящих пакетах на внешний адрес маршрутизатора
• Замените адрес получателя во входящих пакетах фактическим внутренним адресом получателя (если это связанный пакет)

Это означает, что реальный получатель действительно видит, что пакеты поступают из внешнего источника.