Un firewall établit des règles entre des interfaces sur des ports.
Il peu être en coupure ou non (le port mirroring avec envoi de cancel fonctionnant pas toujours hyper bien, dans mon cas je le met en coupure).
Mais le fait de traduire des adresses (Nat) c'est autre chose. C'est une couche supérieure.
J'en ai pas besoin pour mon firewall. Je peux lui dire de gérer de sonterfaces physiques.
Par exemple : un paquet venant de telle interface réseau (eth0) n'a pas le droit d'aller sur celle-ci (eth1).
En l'occurrence, eth0 et eth1 peuvent être sur le même réseau. Et j'ai toujours un firewall. Heureusement, vu le nombre de firewalls dans le monde configurés comme ça