> какую безопасность подразумевает nat, если не секрет?

Ну смотрите.
Помнится, когда сидел на винде, пытался честно закрыть лишние порты фаерволлом, а не NAT'ом.
В итоге список портов одной windows XP получился такой:
135-139:TCP - netbios
445:TCP - SYSTEM
1025:TCP - SVCHOST.EXE
1028:TCP - ALG.exe - Служба шлюза уровня приложения
5000:TCP - UPnP - UniversalPlugandPlay, безконфигурационное подключение сетевых девайсов.
135-139:UDP - netbios
445:UDP - SYSTEM
500:UDP - LSASS.EXE - Службы IPSEC
1027:UDP - SVCHOST.EXE - (фантом живет пару минут после старта)
1900:UDP - SVCHOST.EXE - Служба обнаружения SSDP
4500:UDP - LSASS.EXE - Службы IPSEC

Это порты одной только windows.
А теперь 3 утверждения насчет windows:
1. Фиг его знает, какие _ещё_ порты открывают службы windows XP.
2. Фиг его знает, как сильно поменялся набор портов windows Vista/7.
3. Фиг его знает, какие порты будут открыты в windows 8.

Плюс есть службы, которые запускаются на время.
И засечь какие порты они слушают - нужно посидеть постараться.

Плюс, могут быть службы на рандомных портах.
Ведь RPC-вызовы как раз и используют случайные номера портов.
А windows очень любит RPC.

Плюс, есть ещё просто программы, которые открывают порты.
Особенно "радуют" программы, предустановленные производителем компов/ноутбуков.
Помнится, порадовал набор sony vaio.
Точно не помню, но было что-то типа такого: сервер справки, сервер http для сервера справки, ещё один сервер для сервера справки и т.д.)

Плюс, есть не только windows, но и mac os и линуксы разные.
Если делать фаерволл не только для себя, а для всех, нужно учесть популярные *nix службы.
cups, avahi и т.д.
Плюс порты, которые открывает mac os.

А ещё...)
А ещё стоит упомянуть 100500 устройств типа телефонов, точек доступа, телевизоров, wifi клавиатур и любых других устройств, подключаемых по сети.
Какие там могут быть открыты порты - вообще никаких гарантий.
Что взбредет разработчикам прошивок, то и откроют.
Про качество прошивок и про дефолтные пароли тоже не забываем.

Но и это ещё не все:)
Ибо всегда может появиться какая-нибудь новая хрень, с открытыми портами и дырявыми паролями.
Какой-нибудь чудо девайс с открытым ssh портом и известным дефолтным паролем на root.

Поэтому список портов и служб, которые надо закрывать... это большой список)
И этот список постоянно меняется.
Его нужно поддерживать в актуальном состоянии.

А ещё надо - не закрыть нужные порты!
Например, у одного юзера открыта дырявая веб-камера без пароля - надо закрыть.
А у другого вполне себе не дырявая веб-камера, которой он пользуется через интернет - надо открыть.
Если вы - провайдер, который заикается о безопасности для своих пользователей, то у вас появляется очень много работы)

Поэтому, ну нах.
Лучше закрыть домашнюю сеть NAT'ом.
А нужные порты пробрасывать вручную или через upnp.
upnp, кстати, поддерживают даже роутеры 2-3 летней давности.

Если есть более эффективное, но такое же простое решение, как NAT, буду рад его узнать)