NAT не является функцией безопасности.
Чтобы доказать это себе, представьте себе маршрутизатор NAT без брандмауэра. Каждый внешний порт, который использовался внутренней машиной, просто остается открытым.
Такая настройка NAT не обеспечит никакой безопасности, потому что любой снаружи может подключиться к вашим внутренним портам через последний использованный вами внешний порт.
На самом деле, UDP уже реализован таким образом, потому что нет соединения для отслеживания шлюза NAT. Хорошо, я немного соврал, потому что UDP ограничен приемом с последнего IP-адреса, на который был отправлен. Но, чтобы напугать всех, в те времена , когда NAT был новым, некоторые производители не понимали этого правильно, и порты UDP были открыты для всего мира.
То, что обеспечивает фактическую безопасность в шлюзе NAT, это не NAT, а межсетевой экран с сохранением состояния .
Комментарии, утверждающие, что я ошибаюсь, продолжают путать брандмауэр с операцией NAT. Очевидно, они никогда не играли со старым маршрутизатором (1998-го года), который просто назначал сопоставление портов на основе триггера пакетов. Эти маршрутизаторы не имели отслеживания состояния и не файрвола, но они были реализацию NAT. Без безопасности. Какая моя точка зрения.