Se você enviar um pacote para o roteador de alguém, ele provavelmente será rejeitado pelo firewall do roteador ou pelo NAT do roteador (se nenhuma porta for encaminhada). No entanto, por um curto período, o seu roteador aceitará todos os pacotes de entrada do endereço do roteador que você acabou de enviar um pacote.
Em outras palavras, o firewall do seu roteador é "perfurado", independentemente de o seu roteador usar NAT ou ter seu firewall configurado para bloquear todas as conexões de entrada.
O Firewall do Windows também pode ser perfurado usando o mesmo método, pois o Firewall do Windows pode não permitir conexões de entrada para alguns programas?
Parece que pode ser - estou vendo isso acontecer com um aplicativo que estou escrevendo onde um aplicativo explicitamente bloqueou o UDP de entrada.
É possível que firewalls de terceiros possam fazer algo diferente.
Veja também esta postagem stackoverflow que menciona holepunching windows firewall:
Tags networking firewall