NAT 作為防火牆

網路地址轉換 (NAT) 似乎在某種程度上充當其背後主機的防火牆，因為它們不可用。雖然我永遠不會依賴它作為我的防火牆，但它作為防火牆的失敗是什麼？

我問這個是出於我所謂的“學術”原因。我知道 NAT 不會保護人們免於進入防火牆設備本身，並且更多的安全層更好。我更感興趣的是，如果 NAT 被用於此目的，NAT 本身如何被利用。

更新，例如：

一個公網IP：10.10.10.10

一個區域網路：192.168.1.1/24

如果區域網路的所有傳出流量都有到 10.10.10.10 的傳出 NAT，並且唯一的其他 NAT 映射是 10.10.10.10 埠 80 映射到 192.168.1.100。如何訪問 192.168.1.50 上的 22 埠？

使用 NAT，內部網路中的 IP 地址無法從外部網路路由；與防火牆的比較並不完全正確，因為防火牆過濾了通常應該能夠通過它的網路流量；NAT 重塑了通常不應該以這種方式流動的流量，允許它在某些特定規則下流動。

防火牆保護著原本會打開的門。

NAT 打開了一扇沒有門的門。

使用防火牆，您可以允許從外部網路到內部受保護網路的所有流量；即使您願意，也無法使用 NAT 。

它們是兩個完全不同的東西，即使它們經常被混淆；就安全性而言，NAT 後面的私有 IP 網路實際上比防火牆後面的公共 IP 網路更安全。

更新以響應您的範例

這正是我所說的；在您的情況下， 192.168.1.50 無法從外部定址，因此絕對無法訪問它，除非您明確地將一些外部 IP/埠轉發給它。

引用自：https://serverfault.com/questions/63704