No hay que confundir churras con merinas. El firewall SPI lo incorporan la mayoría de los routers. Su función es evitar ataques externos. Este firewall SIGUE ACTIVO AUNQUE ACTIVEMOS EL DMZ o tengamos abiertos todos los puertos.
El NAT no se creó por seguridad. El NAT se creó ante la falta de direcciones IP. Como no hay suficientes direcciones para todos, dejamos que el router sea el único que tenga una dirección, y a los equipos les ponemos una IP interna que por razones técnicas jamás podrá ser accedida desde el exterior (a no ser que abramos puertos).
El firewall de Windows (que viene con el SP2), al igual que cualquier firewall de cualquier fabricante, cierra todos los puertos por defecto, por lo que no tenemos de tener miedo de tener el DMZ activo si tenemos un firewall.
Además, tener un firewall y tener los puertos abiertos es, en general, MUCHO MÁS SEGURO que tener los puertos cerrados con NAT pero no tener firewall. El NAT insisto que no se hace por seguridad, sino por limitaciones a la hora de crear direcciones IP, por tanto, el NAT no es seguro, te cierra los puertos pero nada más. Es mucho más interesante no tener cerrados los puertos pero a cambio tener un buen firewall que controle las conexiones salientes y entrantes y que te diga qué programas pueden acceder a internet y cuales no, y cuáles pueden ser accedidos desde internet.
Por tanto, a mi juicio, no hay razones técnicas para cerrar los puertos desde el router porque sí. Quien pueda permitirse una IP pública para cada ordenador, que lo haga y se aproveche, y quien tenga un único ordenador, que utilice el DMZ, eso sí, el firewall SPI tiene que seguir activo, y además, al menos el firewall de Windows tiene que estar puesto y funcionando.
![[ok]](/images/smilies/nuevos2/okis.gif "ok")
