fondamentalmente il firewall di un router si basa sul NAT delle porte,
ovvero nasconde a internet la tua rete di pc presentando tutta
la rete con un indirizzo IP wan (quello che ti da il tuo provider)
e nasconde gli indirizzi ip interni della tua rete.

Inoltre la maggior parte delle porte sono chiuse, impedendo
traffico particolare sulle porte non usate.

Vengono lasciate aperte le porte comunemente usate
dai servizi standard come il web (80 e 8080) ftp (21)
smtp (25) e cosi via.

E' per questo che per abilitare servizi particolari, devi aprire
le porte necessarie sul firewall e dirottare il traffico TCP / UDP
di queste porte verso il pc della rete interna che risponderà
a questi servizi ( il c.d. natting).

I firewall hardware dei router piu avanzati adottano anche la
tecnica SPI (Stateful Packet Inspection) ovvero oltre a controllare
l'header del pacchetto, per vedere se e quale pc della rete interna
lo ha richiesto, analizza anche il contenuto del pacchetto per
un filtraggio piu accurato.

Anche se un firewall hardware elimina buona parte dei rischi,
è sempre meglio associarlo ad uno software in funzione sui signoli pc.

luca