Проведен эксперимент по проникновению в локальную сеть, закрытую NAT

Дано
1) Nat D-Link DI-804HV прошивка 1.40
wan 212.x.y.z
lan 192.168.2.2

2) атакуемый находится за NAT (192.168.2.122)
3) атакующий находится в Интернете (81.x.y.z)

С клиента 192.168.2.122 устанавливаем TCP соединение с 81.x.y.z:80
C 192.168.2.122 пакеты идут с порта 3527.
На NAT они преобразуются. В результате на 81.x.y.z:80 приходят пакеты c 212.x.y.z:58097

Со стороны сервера завершаем соединение. При этом в таблице NAT записи остаются как минимум 20 сек.
Все входящие TCP соединения (с любого IP) на 212.x.y.z:58097 в это время транслируются в локальную сеть на 192.168.2.122:3527

На 192.168.2.122 запускаем сервер на порту 3527.
Устанавливаем соединение с любого IP c 212.x.y.z:58097.

Соединение устанавливается.

а SPI mode не помогает тут?

помогает
http://www.dlink.ru/technical/faq_internet_28.php

_________________
С уважением, Карагезов Владислав

SPI mode включен. Из лога:

2004-11-18 13:23:53 User.Warning 192.168.2.2 Don't Blocked access attempt from 64.236.47.58(not 193.232.128.6):53 to UDP port 62943
2004-11-18 13:23:53 User.Warning 192.168.2.2 Don't Blocked access attempt from 64.12.51.132(not 193.232.128.6):53 to UDP port 62943
2004-11-18 13:25:18 User.Warning 192.168.2.2 Don't Blocked access attempt from 192.5.6.30(not 193.232.128.6):53 to UDP port 62943
2004-11-18 13:25:18 User.Warning 192.168.2.2 Don't Blocked access attempt from 216.104.212.100(not 193.232.128.6):53 to UDP port 62943

Однозначно могу констатировать что при включенном SPI этот тест не проходит. Тестировал лично. DI-804HV FW: 1.40b04.

_________________
С уважением -- Александр Шебаронин.