Nu, jak zaznělo, kontaktovat zpět a říci sorry, je to NAT, je za tím 150 koncáků, v daný čas bylo akticních XX (pokud to dokážeš z dat snadno spočítat) a požádat o doplňující data k identifikaci (adresa/porty/...).
Jinak NAT je nejlepší nemít, ale pokud ho mám, tak pak druhé nejlepší je netflow sbírat přímo z CGN brány, ideálně takové, co umí Netflow v9 a NEL/NSEL rozšíření, kdy se do netflow přidává i komplet info o stavu NATu a pak to není nejmenší problém identifikovat. Nu, kdo má Cisco ASR nebo něco podobného, tak má tu možnost (ip nat log translations flow-export v9 udp destination ... ...). Kdo má RouterOS, tak je třeba řvát na Mikrotiky, aby to dodělali (v9 je podporován i nějaký obecný NEL data asi také, ale stav NATu do toho asi stále nestrkají).