Alguns firewalls antiquados ou simplistas dos anos 90 podem ter sido capazes de aplicar regras a pacotes individuais isoladamente, mas todos os firewalls modernos são o que chamamos de firewalls Stateful Packet Inspection (SPI). Firewalls SPI lembram o estado de um fluxo de tráfego (como lembrar que eles viram uma Sincronização TCP de saída que iniciou uma sessão TCP) e aplicam essas informações de estado a futuras decisões de permissão / negação (como permitir que outros pacotes nessa sessão TCP fluam qualquer direção, desde que foi iniciada "de dentro").
Muitos produtos de roteadores de gateway doméstico nem têm firewalls com recursos completos, mas confiam no fato de que o NAT (especificamente "NAPT", a.k.a. "PAT") atua como uma espécie de "firewall SPI do pobre". Os gateways NAT precisam de mapeamentos de portas porque, caso uma tentativa de conexão recebida, iniciada do lado de fora, atinja o endereço IP externo do gateway NAT, ela não saberá para qual cliente lateral privado ela deve ser encaminhada, pois não possui nenhum estado gravado . Então tem que simplesmente largar isso. Os mapeamentos de porta permitem que o NAT saiba a qual cliente encaminhar certos tipos de solicitações recebidas para.
Quanto a obter privilégios para colocar um ouvinte em uma determinada porta em um host, alguns sistemas operacionais restringem a capacidade de colocar ouvintes nas portas "Bem Conhecidas" abaixo de 1024, ou até mesmo nas portas "Registradas" abaixo de 49152, mas a maioria Sistemas operacionais permitem que qualquer usuário normal coloque um ouvinte nas portas "Efêmeras" acima de 49152. Se você estivesse frustrado por não ter privs para iniciar seu próprio processo de servidor web na porta 80 (no intervalo de portas "bem conhecido") ou 8080 (registrado), tente iniciá-lo em 60080 (efêmero).
As conexões TCP e UDP de saída são atribuídas automaticamente a uma porta do intervalo efêmero (alguns sistemas operacionais também podem usar partes do intervalo "registrado" para portas efêmeras).