La maggior parte delle persone pensa che NAT si una valida difesa contro intrusioni provenienti dall'esterno. In realtà lo scopo del NAT è tutt'altro. Sicuramente provvede a fornire una sorta di isolamento tra la rete interna e quella esterna ma da solo non è sufficiente. Quella di cui sto parlando è una classe di attacchi realtivamente sofisticata che ha successo se il router della vittima non provvede a filtrare in ingresso lato WAN determinati IP non validi su internet. Ad esempio gli ip di classe privata usati in LAN (10/8, 192.168/16, 172.16/12).
Se questo non succede è possibile penetrare il NAT del router e contattare direttamente un server interno... ed eventualmente ottenere una risposta.

Non è una cosa banale, ma nemmeno troppo complicata.
Per dettagli:
http://www.s0ftpj.org/bfi/dev/BFi13-dev-17

A questo punto immagino la tua domanda... come faccio a cautelarmi? Se possiedi un router che permette tale configurazione è necessario bloccare gli indirizzi di cui sopra provenienti da internet. Se il tuo router non consente tale filtro bisognerebbe verificare se provvede autonomamente a tale tipo di blocco... la risposta è molto spesso negativa.

Configurazione ragionevolmente sicura? lascio a te decidere... considera comunque che il tuo, per quanto non perfetto, è un genere di configurazione diffusissmo... e che probabilmente il filtro di cui sopra, per quanto concettualmente semplicissimo, richiederà forse un hardware specifico e più costoso dei normali routerini casalinghi.