NATは不明なIPからの着信UDPパケットをどのように処理しますか

比較的noobの質問について事前に謝罪し、これがトピックから外れているかどうか（私はわかりません...）

状況としては、UDPクライアントとサーバーが同じポートにバインドされています。

NATについての私の理解では、クライアントから特定のエンドポイントに送信されるUDPパケットは、送信元ポートを宛先エンドポイントにマッピングするNATテーブルへの一時的なエントリになります。（これは正しいですか？）

これは、まだ不明なエンドポイントが、UDPパケットが通過するのと同じポートへのサーバーとのUDP通信を開始した場合にも意味しますか？NATがこれを防ぐ理由はありますか？NATは、これらの着信パケットをブロック/許可することも考慮しますか？

通常のNATは、通信するホストの各ペアの5タプル（プロトコル、内部アドレス、内部ポート、外部アドレス、外部ポート）としてマッピングを作成することで機能します。通常、このエントリは最初の発信パケットによってテーブルに追加されます。

まだ不明な外部ホストがUDPパケットを送信する場合、そのテーブルにはエントリが存在しないため、NATデバイスは通常、その機能と構成に応じてそれを破棄します。

この種類のNATは、通常、「オーバーロードNAT」または「ポートアドレス変換」と呼ばれ、他の種類と区別されます。適切な説明はhttp://www.ciscozine.com/nat-and-pat-a-complete-explanation/です。

サーバーで着信パケットを受け入れる場合は、そのポートのそのサーバーのNATデバイスに静的エントリを設定する必要があります。事実上、これは着信パケットによってエントリをNATテーブルに追加できることを示しています。

詳細はデバイスとソフトウェアに依存します。

jonathanjoが指摘しているように、UDP NAPTテーブルエントリは単なるUDPポート番号で構成されます（NAPTでは、UDP、TCP、ICMPに個別のテーブルがあり、UDPポート12345はTCPポート12345とは異なりますが、ICMPはそうですポートを使用しませんが、ポート番号の代わりにクエリIDを使用します）。

NAPTテーブルエントリに特定の外部IPアドレスがない場合、NAPTデバイスは、着信IPアドレスで実際にアドレス指定されるデバイスであるため、パケットが自分宛てであると想定します。NAPTデバイス自体がUDPポートを開いていない場合は、パケットをドロップする必要がありますが、これは実際にはNAPTデバイスのOSとその構成方法次第です。

これがNAPTがセキュリティではない大きな理由です。本当にファイアウォールも必要です。ファイアウォールはデフォルトですべての外部発信接続をブロックし、NAPTデバイス自体を保護します。NAPTデバイスが危険にさらされている場合、そのデバイスは内部ネットワークに完全にアクセスでき、攻撃者はプライベートアドレスのネットワークであっても内部ネットワークに完全にアクセスできます。