Не все сети выполняют NAT. Единственный раз, когда вам нужно выполнить NAT, это когда у вас есть только один маршрутизатор с его общедоступным IP-адресом, а остальная часть вашей сети имеет частные.
Цитата не о выходной фильтрации на границе этих сетей. Вместо этого речь идет в основном о фильтрации в сетях, где все устройства уже имеют публичные адреса и нет NAT - например, центр данных, полный серверов, или сеть интернет-провайдера со всеми клиентами в нем.
Как эти поддельные пакеты от клиентов попадут в сеть интернет-провайдера? Без труда.
- Бизнес-клиент может иметь собственный пул общедоступных адресов для назначения отдельным компьютерам, серверам, принтерам или другим устройствам.
- Даже домашнее соединение, с его типичным одиночным адресом, на самом деле не связано с использованием маршрутизатора: клиент может с таким же успехом подключить один компьютер напрямую к модему, и этот компьютер сразу же получит внешний адрес.
- Или, как это уже происходило во многих случаях, сам дешевый маршрутизатор может быть заражен вредоносным ПО и генерировать эти поддельные пакеты самостоятельно.
Наконец, даже когда речь идет о сети с NAT и частными адресами, вопрос заключается в том, действительно ли настроено правило NAT для соответствия всем адресам источника ... или только частным. Вполне возможно, что некоторые маршрутизаторы просто пропускают пакеты, которые уже имеют общедоступный адрес источника, при условии, что они «уже NAT».