Mateusz Viste pisze:
> On Tue, 06 Nov 2018 18:10:53 +0100, PawelS pawel(at)wbcd(dot)pl wrote:
>> czyli, aby wysłać odebrany pakiet z "zewnątrz" i przesłać do host za
>> NAT,
>> dane połączenie musi zostać odnalezione w tablicy sesji NAT,
>> w przeciwnym razie translacja odwrotna nie będzie możliwa,
>> czyli powyższe próby "Grzesia" zakończą się odrzucaniem pakietów oraz
>> ewentualnym logowaniem pakietów, a takie wysyłanie pakietów może zostać
>> odebrane jak skan portów i również zablokowane.
>
> Ja być może niejasno napisałem, dlatego sprostuję: moja teoria wymaga
> naturalnie by Krzyś wykonał kilka/kilkanaście (im więcej tym lepiej) prób
> w kierunku Grzesia. W ten sposób Grześ ma jakąś tam szansę wpaść na
> poprawną parę portów.
> Jeśli tylko jedna ze stron będzie kombinować, to oczywiście szanse na
> powodzenie są żadne.

Wręcz przeciwnie napisałeś wszystko jasno:

[ User:LAN:IP:PORT ] NAT:IP:PORT ===> Remote:Port
[ Joe:10.0.1.1:1234 ] 30.0.3.3:3456 ===> 20.0.2.2:2345
[ Bob:10.0.4.4:1234 ] 40.0.4.4:4567 ===> 20.0.2.2

Ten wątek wydaje mi się ciekawszy, więc zacytuję artykuł od Romana:
> Introducing the Introducer
> [...]
> * Joe tries to send packets to Bob on address 40.0.4.4:4567. Because it's
> sent from the same internal address, the firewall re-uses the From address
> of 30.0.3.3:3456, and write that as the "from" address on a packet headed
> "to" 40.0.4.4:4567. A paranoid NAT will also add 40.0.4.4 as an allowed
> destination for this port.
> Bob's firewall sees an incoming packet on 40.0.4.4:4567,
> looks that up in its masquerading table, and forward
> the packet to 10.0.4.4:1234.

> Hey! Joe just sent a packet straight to Bob!
> Bob does the same thing going the other way. Suddenly, with a little help
> from the introducer server out on the network, these friends can talk
> to each other. The cool thing is that whatever traffic goes on
> between these peers does NOT go through the central server.
> Other than letting the clients find each other ("matchmaking")
> the server gets out of the way.

Stąd wniosek, że NAT zapamiętuje tylko parę LAN:IP:PORT + NAT:IP:PORT
czy teoretycznie jak pojawi się trzeci użytkownik Ola
[ Ola:10.0.5.5 ] 50.0.5.5:7788 ===> Anywhere,
to Ola może również nawiązać połączenie z Joe lub Bob.

Trochę mi to psuje moje zrozumienie jak działa NAT
i jego tablica stanów połączeń, według to której
powyższy przypadek nie powinien zadziałać.