Immagina questo scenario: Alice ha una sottorete privata (192.168.1.0/24) connessa a un router che è anche collegato alla rete locale B. Il router di Alice esegue NAT (solo usando MASQUERADE; il traffico in uscita avrà come origine il router indirizzo), ma non vi è alcun port forwarding o firewalling aggiuntivo. Il computer di Mallory è anche connesso alla rete B e conosce la configurazione di Alice.
Se Mallory aggiunge una rotta al suo computer (cioè 192.168.1.0/24 tramite il router di Alice), è in grado di eseguire scansioni nmap della rete interna di Alice, dal momento che il router di Alice inoltra felicemente il traffico alla sottorete interna.
Dave è su una rete remota (uno o più hop di distanza) e conosce la configurazione di Alice. Tuttavia, nessuno dei router intermedi tra Dave e il router di Alice conosce il percorso verso la sua sottorete interna (dal momento che si tratta di un intervallo privato, l'infrastruttura di rete può essere configurata per eliminarla comunque, ma ignoriamola per ora), quindi non può essere scansionato allo stesso modo di Mallory.
Dato lo scenario esatto sopra e nessun'altra ipotesi, c'è un modo per Dave di scansionare la rete interna di Alice o altrimenti abusare di questa configurazione anche se il routing non funziona?
Modifica: il "router" in questo esempio sarebbe una macchina * nix configurata con net.ipv4.ip_forward = 1. La domanda è basata su una configurazione che ho osservato e testato.