Bon puisqu'on se fait copieusement interpellé dans ce sujet je vais aller jusqu'au bout des choses.
J'ai indiqué que les routeurs avait une approche basique des choses cela signifiait que certaines choses basiques étaient possibles d'autres plus évoluées dont les attaques applicatives ne pouvait être bloquées.
Donc par exemple, une chose basique serait de bloquer tout trafic entrant, heureusement. Alors effectivement si tu bloques tout ton trafic entrant effectivement un pauvre ping ne risque pas de te géner.
Par contre si tu cliques sur un lien sur une page WEB qui contient malencontreusement une attaque basée sur le cross site scripting (insertion de code exécutable dans une URL), tu es bien embeté avec ton petit routeur parce qu'il s'agit ici d'un trafic autorisé (tu as émis la requête en cliquant sur le lien et le serveur te réponds tout simplement). Il te faut donc un utilitaire de sécurité sur ton poste utilisateur qui identifie qu'une action d'exécution a été lancée sur ton poste à ton insu.
Donc je repête : Un firewall est utile, ton routeur (meme sans NAT) fait déjà une partie du travail (à l'origine les premiers firewalls étaient des routeurs avec des fonctions de firewalling) mais celui-ci reste très basique dans son approche, un firewall en plus c'est mieux.