Обычно маршрут, по которому пакет проходит от отправителя до места назначения определяется промежуточными маршрутизаторами. Сам пакет содержит информацию только о том, куда ему необходимо попасть (адрес места назначения) и ничего не говорит о том, как бы ему хотелось туда добираться.
 У отправителя пакета есть дополнительный способ включения в пакет информации о маршруте, по которому пакет должен проходить до места назначения; отсюда и название «внутренняя маршрутизация».
 Для брандмауэра внутренняя маршрутизация - существенная проблема, поскольку атакующий может генерировать пакеты, утверждающие, что они поступили с системы, «внутренней» по отношению к брандмауэру.
 В общем случае, такого рода пакеты не попадают на брандмауэр по соответствующим маршрутам, но при использовании внутренней маршрутизации все маршрутизаторы между машиной атакующего и целевой машиной будут возвращать пакеты по маршруту, обратному указанному в пакете. Реализовать такую атаку весьма просто, поэтому создатели брандмауэров не должны считать ее маловероятной.
 На практике внутренняя маршрутизация используется очень редко. Фактически, обычно основным законным ее использованием является отладка проблем в сети или направление пакетов по конкретным линиям связи, чтобы предотвратить перегрузку каналов в особых случаях.
 При построении брандмауэра внутренняя маршрутизация должна где-то блокироваться. Большинство коммерческих маршрутизаторов включают возможность явно блокировать внутреннюю маршрутизацию, а многие версии ОС Unix, которые могут использоваться для построения бастионных хостов брандмауэров, также позволяют запрещать или игнорировать пакеты с внутренней маршрутизацией.