Koukám odpovědi se nedočkám. Když NAT neví, kam má paket poslat (není součástí již navázaného spojení nebo je to pokus o vavázání spojení na neznámém portu, pro který není zřízen port forward...), tak ho zahodí. Jestli chceš trvat na slovíčkaření, že porovnání flagů datagramu s NAT tabulkou je SPI, ano, jistě, ale je to součást toho NATU, který neznámé pakety nepřeloží, ale zahodí.(Neplést s SPI-firewallem což je doplňková ochrana, která na routerech bývá, ale je ji možno vypnout bez toho, aby NAT přestal fungovat.)