Una computadora en LAN realiza una solicitud a un sitio web. La solicitud pasa por un enrutador que realiza una entrada (ip: port-ip: port) en una tabla de reenvío NAT. ¿Cómo podemos consultar desde qué puerto del enrutador se envió la solicitud al servidor final?

Esa información sería conocida por el enrutador y la aplicación de host distante. La presunción es que no tiene acceso a la maquinaria IP en el host distante, por lo que deja el enrutador local. Si el enrutador está configurado con las reglas de netfilter / iptables de Linux (usted dijo ‘reenvío NAT’), podría:

• idear una regla que registre los paquetes que coincidan con el host respectivo: puerto.
• use un rastreador de paquetes (tshark o wireshark) en el enrutador para capturar y desarmar los paquetes de interés.

Si no tiene acceso a los mecanismos internos del enrutador, su único recurso sería usar un concentrador o un conmutador administrado configurado de manera adecuada para permitir la detección de paquetes en el lado WAN de su enrutador, suponiendo que use Ethernet en ese nivel.

Suponiendo que estamos hablando de puertas de enlace residenciales / pequeñas empresas donde tenemos un solo enrutador, es sencillo: puerto WAN.

Si estamos hablando de casos en los que están involucrados varios enrutadores, entonces debe recurrir a la captura de algunos registros o buscar estadísticas en el enrutador.

¿Desde dónde quieres consultar? En el enrutador en sí, puede consultar la tabla de reenvío de Nat, pero si desea realizar una consulta desde una máquina host, deberá encontrar una mib SNMP. Hay cientos de MIB y puede o no haber uno que consulte el puerto NAT. Si no puede encontrar uno, aún puede escribir un script que pueda obtener ese puerto por usted.