Le contournement consiste à mettre une DMZ (Zone démilitarisée) ver le PC (ou le routeur) qui devrait avoir l'IP publique en mode bridge.
Attention, la fonction "DMZ" n'a rien à voir avec un
glacis (ou zone démilitarisée) tel qu'on peut en mettre en place dans le cadre d'une défense en profondeur des réseaux :
Une "zone démilitarisée" est une zone qui risque d'être occupée par l'ennemi, et on s'attend à devoir se défendre contre l'ennemi opérant depuis cette zone.
C'est à dire qu'on met en place une ligne de défense entre le réseau interne protégé gérant les informations sensibles et la "zone démilitarisée". Cette dernière ne doit pas héberger d'informations critiques, et le réseau interne protégé ne doit pas faire confiance aux ordinateurs de la "zone démilitarisée".
P.ex. on met un serveur Web public qui est une simple "vitrine" dans la DMZ. Si ce serveur est "piraté", seule la vitrine de l'entreprise sera affectée, les informations des clients ne seront pas affectée. Si ce serveur Web sert à lancer des tentatives d'attaques contre les ordinateurs du réseau interne protégé, ces attaques ne seront pas beaucoup plus efficaces que si elles venaient de l'extérieur.
Dans le cas d'une NAT-box, la "DMZ" est juste une IP particulière, et non un sous-réseau particulier ou un lien logique particulier. Le PC qui a cette IP est par définition directement relié (relié par Ethernet) aux autres PC placés derrière la NAT-box. Si ce PC est "piraté", il peut tenter d'attaquer les autres PC directement par Ethernet sans passer la NAT-box. Il peut aussi se faire passer pour eux en usurpant leur adresse IP, et ainsi détourner les flux.
On ne peut donc pas parler de "zone démilitarisée" ici!