DAPL n'était pas loin de dire :

 Cela étant dit, mettre les postes du LAN/WAN sur un netblock non
routable (avec un VPN pour relier les différents réseau en cas de WAN)
couplé à une vraie DMZ reste la meilleure protection contre les
attaques distantes, et donc la meilleure dans le cas présent.

C'est évidemment le cas, mais pour recentrer le débat, ces outils (je ne
sais pas si vous les connaissez) s'affranchissent parfaitement des
équipements de filtrages + NAT/PAT.

 Ce qui n'a guère de rapport dans le cas présent. C'est le routeur en
bordure du réseau qui se charge de faire la NAT. Pour que les postes du
réseau soient atteints, il faudrait que le-dit routeur ait une règle
NAT pointant sur chacun des postes du LAN en fonction du port adressé.
La cause de la vulnérabilité serait donc les règles définies par
l'admin et non les logiciels utilisés.

Hormis empêcher l'utilisateur de pouvoir les installer (non admin du
PC), je ne vois pas de parade orientée réseau contre ça.

 L'éducation des utilisateurs[1].

En clair, ma question ne porte absolument pas sur la façon de construire
un réseau d'entreprise, mais sur ce que vous pensez de ces outils et les
problèmes éventuels qui peuvent être liés.

 Ce que l'on en pense, Fabien et moi venons de le dire. Les problèmes
n'existent que si l'admin en charge du réseau définie des règles
abhérantes, que ce soit au niveau du filtre IP en bordure ou au niveau
du routeur en bordure. Dans tous les autres cas que je visualise (mais
peut-être en oublié-je), les postes ne sont pas joignables de
l'extérieur, et le risque n'est donc pas plus grand que lorsqu'un
employé laisse son ordinateur allumée pendant qu'il va à la machine à
café.


[1]
 Ok, je sors.