un attimo... la cosa non è semplice.

Io non so a cosa tu ti riferisca esattamente.
Consideriamo il classico router ADSL... spesso contiene un firewall che permette di filtrare porte o quant'altro.
Non cambia nulla. Non vi sono connessioni attive TCP tra il client e il router. Il router riceve i pacchetti IP sulla sua porta Ethernet.

Nel pacchetto ricevuto dal router:
a livello Ethernet: sarà indicato il MAC address della scheda di rete del router,
a livello IP: sarà indicato l'IP remoto da raggiungere
a livello TCP: la porta del sistema remoto

Il router riceve il pacchetto, legge l'IP destinazione e lo rimanda sulla opportuna porta di uscita (la porta WAN p.es). Se entra in gioco il firewall questo va prima ad analizzare i dati contenuti dentro al pacchetto alla ricerca di eventuali porte da filtrare e solo se è tutto ok manda il pacchetto sula porta di uscita.
MA non c'è nessuna connessione TCP/IP tra client e router.

Mi rendo conto che forse la cosa non è semplice da capire. Bisogna avere ben chiaro come funzionano questi protocolli.
Posso capire che all'atto pratico non riuscire ad uscire su internet sulla porta 25 ma riuscirci sulla 80 puo' essere intrpretato come: non posso collegarmi sulla 25 del router ma posso sulla 80. In realtà non è così. La connessione si ha solo tra i due endpoint sorgente e destinazione finale.
I sistemi intermedi semplicemente smistano e filtrano.
Se non riesci ad uscire su una determinata porta significa che il firewall è stato impostato per bloccarla.

Tu cosa vuoi sapere esattamente?