> Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт

потому что "эта штука" не наттер, на замену сдохшего длинка-за-пиццот-рублей из выброшенного добрым начальником из кладовки старого компьютера от сбежавшей бухгалтерши чтоб-и-пиццот-тоже-не-платить, а недофайрвол/ids в одном флаконе. Взрослые большинству не по карману.

> Почитайте: https://doc.pfsense.org/index.php/Static_Port
> Первый абзац - просто бред. Мы придумали проблему и героически решаем.

они ее не придумали. Они ее решали, как могли.

> NAT - это нестандартизированный костыль для решения проблем с исчерпанием адресов ipv4

ох... очередной опоздавший родиться. Рассказываю: nat изобрели в те далекие-далекие времена, когда фуфел с якобы "исчерпанием" ipv4 еще и на горизонте не маячил.
И придумали его именно от нежелания светить потроха организации наружу, а вовсе не для экономии адресов (они еще и ARIN-assigned могли быть по ту сторону ната, потому что сначала их раздали, а потом "не менять же всем адреса").

Более того, несмотря на неимоверные усилия этому помешать от бесноватых комитетчиков, вполне уже существуют реализации 6to6 nat.

> это не средство для организации безопасности. NAT не отменяет и не
> заменяет собой настройку остальной части фаервола.

пока ты считаешь "файрволом" пакетный фильтр - без нат никакая настройка тебе не поможет. Почему - в той статье, которую ты не осилил прочитать.

> С SIP - это просто анекдот. Сначала ой, а потом и хрен
> с ним. Не понятно почему только 5060 UDP. Траспорты и порты-то

в сферическом вакууме. А в интернетах за пределами корпоративных бордеров - уже не бывают. И не только из-за натов, а из-за чудовищной гнилости всего sip-мирка

> разные бывают. Вот из-за нестандартизированности NAT и вот таких вот невменяемых
> утырков-разработчиков бывает односторонняя слышимость.

а точно не из-за того что утырки-телефонисты не предусмотрели в своем чудо-протоколе тривиальнейших вещей, зато понапридумывали кучу неотключаемых автоугадаек вместо нормальных настроек? А потом скулят что "alg не работает". Конечно не работает, вы же сами и сломали.
(вы не поверите, эти существа прописывают RFC1918'ые сети в отдельный фильтр, прямо в коде своих поделок - типа, обнаружив у себя такой адрес, включаем отравляющий газ. Что nat бывает, ну надо же, и на public адресах, а бывает еще и такой хитрый трюк, как натируемые и паблик сегменты, видящие друг-друга без трансляции - этим наивным детям декадно-шагового оборудования никто не рассказал)

> что asterisk до версии 11 страдал от такого кривого дефолта, аргумент
> "мало кому надо" тут не прокатит.

asterisk мало кому надо, да. Правда, с class4 все точно так же плохо (только еще и за нереальные деньги)