Dipende da come viene configurata la tua rete; ma di solito l'IP non viene rimosso e le intestazioni dei pacchetti contengono l'origine e la destinazione originali.
Generalmente, un interruttore principale viene fornito dopo un router, il router è probabile che su una rete aziendale esegua molte traduzioni NAT. In tal caso, potresti vedere l'IP NAT di un determinato pacchetto a cui fai riferimento (ad esempio, invece di un ip pubblico, vedi 192.168.x.x). Quindi è probabile che vedrete l'IP interno come una fonte di qualsiasi cosa in uscita, perché, questo è l'unico IP a conoscenza del dispositivo di rete - l'IP esterno viene applicato dal router che esegue NAT.
Tuttavia, a meno che tu non stia effettuando alcune strane ispezioni a livello di pacchetto (ad esempio Cisco) e cambino, le intestazioni dei pacchetti dovrebbero rimanere invariate e indicare l'IP di origine e destinazione degli endpoint - non di dispositivi di rete intermedi che portano il traffico. Questi dispositivi hanno solo IP di gestione - e non tendono (anche se questo può accadere in sofisticate configurazioni di switching di livello 3 che sono rari) alterare le intestazioni dei pacchetti.