Чи обмежує маршрутизатор вихідне підключення до певного хоста?

Це питання задається в контексті маршрутизатора, у якому не ввімкнено перенаправлення портів. Тобто. вхідні з'єднання не приймаються. Лише вихідні.

Я читав щось на форумі, де хтось сказав, що коли ви, як клієнт, стоїте за маршрутизатором, і підключаєтеся до певного хосту, то це відкриває порт на вашому маршрутизаторі і пересилає ВСІ вхідний трафік, який намагається підключитися до порту, незалежно від джерело цього трафіку, і, таким чином, під час відкриття цього з'єднання воно так само небезпечно, як якщо б ви настроїли переадресацію порту для цього порту. Іншими словами, деякі зловмисні треті сторони, які надходять з іншої адреси, крім хоста, можуть підключитися до цього порту.

Я розумію, що коли я ініціюю вихідне з'єднання з хостом, то порт для прослуховування обмежується зв'язком з цією адресою хоста. Іншими словами, вхідне з'єднання третьої сторони не зможе отримати доступ до цього порту. Тим не менш, ця одинока людина, здавалося, припускає, що тільки брандмауер це зробив. Такий тип порушує моє розуміння того, як працюють з'єднання і як маршрутизатор відображає порт для прослуховування вихідного з'єднання (я збирався додати, що в моїх знаннях є багато отворів для порушення, але тоді я зрозумів, що це звучить дуже погано.)

Чи обмежує маршрутизатор вихідне з'єднання для спілкування з хостом призначення? Або ж маршрутизатор також переходить від інших третіх сторін, які не походять від хоста призначення, якщо вони намагаються підключитися до цього порту прослуховування?

Я припускаю, що ваш маршрутизатор робить NAT тут (що більшість домашніх маршрутизаторів робити). У цьому випадку вхідні пакети будуть переадресовані, тільки якщо вони збігаються з поточним NAT-з'єднанням, а це означає, що IP-адреси та порти-джерело і призначення повинні збігатися, тож ви правильно вказали лише відповідні пакети, що пересилаються.

Зауважте, що в цій ситуації немає прослуховуючого порту (тобто не існує процесу, який приймає з'єднання) - маршрутизатор - це просто маршрутизація і NAT-пакети IP-адрес.

Навіть якщо маршрутизатор сліпо пересилає пакети, які не мають відношення до з'єднання, вони будуть відкинуті машиною призначення, оскільки вони не є частиною відкритого з'єднання TCP (і неможливо прослухати цей порт, оскільки він використовується для вихідного з'єднання).