Ubuntu 9.04, reclamações do Firestarter mesmo atrás do roteador NAT

Estou atrás de um roteador. Na configuração do roteador, eu bloqueei:

• all (entrada e saída) UDP
• entrada ICMP

iptables locais são configurados com o assistente do Firestarter:

• bloqueia todas as conexões de entrada
• permite todas as conexões de saída
• filtrar ICMP, exceto ping
• bloqueia a transmissão da rede externa

Agora, o Firestarter ainda reclama de conexões TCP e ICMP bloqueadas ao meu IP interno (192.168.0. *), em portas diferentes. Não há reclamações de UDP, mas apenas porque o roteador bloqueia todas elas. Anteriormente, com o UDP-s de entrada (mas não de saída) bloqueado, eu também estava obtendo toneladas de conexões UDP bloqueadas (especialmente com o lançamento do Skype).

Eu não entendo como é possível que as reclamações do Firestarter sobre conexões TCP bloqueadas. Meu entendimento é que por trás do roteador eu não posso ser acessado do mundo externo (devido à tradução NAT), e o roteador passa apenas os pacotes de entrada que correspondem aos pacotes de saída. Agora, o iptables deve funcionar da mesma maneira - ele deve aceitar pacotes de resposta de entrada que correspondam aos de saída antigos. Portanto, se o pacote TCP conseguir passar do meu computador para o servidor externo, a resposta nunca deverá ser bloqueada.

Além disso, eu não entendo como os pacotes ICMP podem passar pelo roteador e travar no meu iptables - todos devem estar bloqueados no roteador (note que todos os ICMPs que chegam ao meu iptables estão na porta 80, talvez isso seja uma pista)

Alguém poderia me apontar na direção certa sobre como corrigir esses problemas (se houver algum, talvez eu não esteja informado).