Allora stiamo confondendo il Nat e il Pat (o come mamma cisco insegna il nat overload).
Il Nat puro è proprio quello che hai indicato enry, una tabella in cui l'apparato che lo esegue, crea delle entry in cui associa l'ip privato (il local scope) con quello nattato (il global scope).
Il pat viene utilizzato proprio quando esistono più indirizzi in rete privata che utilizzano in uscita lo stesso ip "pubblico" e qui entra in gioco l'header TCP da cui il router prende le info relative alla sessione TCP (src port) per utilizzarle nella costruzione della tabella di nat in cui figureranno l'indirizzo pre-nat, l'indirizzo post-nat la src port e il destination IP creando così una tabella univoca che identifica ogni singola sessione comunicativa TCP.
Se il router e configurato per esporre cmq (vedi in modo costante---nat statico) una macchina su internet riesco facilmente a raggiungerla, in caso il nat sia configurato solo in uscita (quindi non si espone nulla all'esterno in modo costante) sei diciamo abbastanza al riparo,
comunque riuscendo ad analizzare il traffico (ad esempio con un attacco man in the middle) riesco a capire quali comunicazioni (e relativa entry nat) sono attive e forgiando opportunamente un pacchetto posso arrivare alla macchina all'interno, questa è cmq una procedura che non viene fatta facilmente e generalmente questi tipi di attacchi sono rivolti ad altri tipi di sistemi (vedi transazioni online).
Su internet generalmente si è sottoposti al "rumore di fondo" generato da malware e virus, le cose più pericolose sono le installazioni di bot e -----n, è di oggi la notizia di un ventenne americano arrestato perchè affittava su internet la sua botnet per la conduzione di attacchi di tipo DDOS, pensate che aveva sotto controllo qualcosa come 400000 computer su cui aveva installato un bot...... fate un pò voi cosa poteva fare
Notizia tratta da
http://punto-informatico.it/p.asp?i=57494&r=PI
saluti