Nicht alle Netzwerke führen NAT durch. Sie müssen NAT nur dann ausführen, wenn Sie nur über diesen einen Router mit seiner öffentlichen IP-Adresse verfügen und der Rest Ihres Netzwerks über private verfügt.
Bei dem Zitat geht es nicht um Ausgangsfilterung am Rande dieser Netzwerke. Stattdessen geht es hauptsächlich um das Filtern in Netzwerken, in denen alle Geräte bereits über öffentliche Adressen verfügen und es kein NAT gibt - beispielsweise ein Rechenzentrum mit Servern oder ein ISP-Netzwerk mit allen Kunden.
Wie erreichen diese gefälschten Pakete von Kunden jedoch das Netzwerk des ISP? Leicht.
- Ein Geschäftskunde verfügt möglicherweise über einen eigenen Pool öffentlicher Adressen, die einzelnen Computern, Servern, Druckern oder anderen Geräten zugewiesen werden können.
- Selbst eine Heimverbindung mit ihrer typischen Einzeladresse ist nicht unbedingt an einen Router gebunden: Der Kunde könnte auch einen einzelnen PC direkt an das Modem anschließen, und dieser Computer hätte sofort eine externe Adresse.
- Oder wie es schon oft passiert ist, könnte ein billiger Router selbst durch Malware infiziert sein und diese gefälschten Pakete selbst generieren.
Schließlich, auch wenn das Netzwerk in Frage ist ein mit NAT und privaten Adressen, ist die Frage, ob seine NAT - Regel tatsächlich eingerichtet ist paßt alle Quelladressen ... oder nur die privaten. Es kann durchaus sein, dass einige Router Pakete, die bereits eine öffentliche Quelladresse haben, einfach durchlassen, unter der Annahme, dass diese "bereits NAT" sind.