Il router adiacente funge da firewall¹
Questo è in realtà un effetto collaterale del NAT: il router sta bloccando le connessioni dall'esterno verso l'intranet.² Per interagire con un computer nella intranet dall'esterno, ³ deve essere stata aperta la porta appropriata in il router per quel computer. E sarai in grado di interagire solo attraverso quella porta.⁴
Dato la tua descrizione, la rete interna non è accessibile dall'esterno, quindi non c'è l'inoltro di pacchetti da Internet su di essa.
Quindi, l'unico modo per scansionare un computer nella rete interna sarebbe quello di passare a un host direttamente connesso all'interno. Questo potrebbe essere il router stesso o qualsiasi computer sulla rete Intranet accessibile dalla rete esterna. E potrebbe essere un accesso non intenzionale (come lo sfruttamento di una vulnerabilità su uno di quei computer) o uno consentito (come la pubblicazione di un server ssh o di un endpoint VPN).
¹ Anche se molto semplice
² Esistono molti sistemi vulnerabili non sfruttabili a causa di ciò. Se la rete viene modificata per implementare IPv6, potrebbero tuttavia essere esposti.
³ Sto prendendo in considerazione esclusivamente le connessioni avviate da remoto, non ad es. l'interazione con un browser interno del server Web richiesto. Tuttavia, avere un utente interno che si connette a voi (sia che aprire un sito Web che esegue un exploit del browser per ingannare direttamente l'utente per eseguire una shell remota) è una potenziale preoccupazione.
⁴ Ci sono alcuni casi in cui più porte possono essere aperte dinamicamente, come con i router che ispezionano l'FTP.
Leggi altre domande sui tag nat network-scanners