"ALG" aqui significa "Gateway da camada de aplicativos". Ou seja, módulos de firewall que lidam com algumas peculiaridades desses protocolos.
-
Em um firewall com monitoração de estado, o "estado" geralmente está vinculado a apenas endereços e números de porta. Ou seja, você envia um pacote da porta X para a porta Y do servidor, e o firewall automaticamente permite a reversão. Entretanto, alguns protocolos usam conexões adicionais - por exemplo, o FTP no modo 'ativo' faz o servidor conecta a você em uma porta separada. Portanto, o firewall precisa de um módulo ALG que rastreie os comandos FTP e adicione automaticamente as regras necessárias. (Isso inclui o encaminhamento de porta automagic quando o NAT está em uso.)
-
Os firewalls com NAT ativados traduzem endereços IP e portas TCP / UDP nos cabeçalhos correspondentes. Mas alguns protocolos também enviam os próprios pacotes de endereço do cliente ou servidor - por exemplo, sim, o mesmo FTP faz isso (no modo ativo o cliente envia seu próprio endereço, no modo passivo o servidor). Um ALG tenta fazer a regravação apropriada desses comandos FTP.
Normalmente, o que acontece se o ALG apropriado não estiver presente é que certas conexões simplesmente ficam suspensas no meio. Por exemplo, você pode efetuar o login no servidor FTP, mas ele atinge o tempo limite ao tentar obter a lista de arquivos.
(Sim, a maioria deles pára de funcionar quando a criptografia é ativada, pois o ALG não pode mais olhar para dentro. Você poderia dizer que os ALGs são ferramentas para disfarçar problemas.)
Como para o qual você pode desabilitar: isso realmente depende de quais protocolos você usa, e se o ALG do seu roteador em particular é de qualidade aceitável. (Existem alguns modelos que quebrariam totalmente as conexões em vez de "consertá-las" ...) Por exemplo, desabilitar o suporte a H.323 (um antigo protocolo de VoIP) deve ser suficiente.