Falla di sicurezza in Gigaset/Dynalink

[Prot]

Ciao a tutti,
Recentemente ho flesciato il Gigaset di Telecom con il nuovo firmware della Dynalink:

cfe-rta230nz-v021801_16_a2a015h,

riscontrando la seguente situazione, che a seconda dei punti di vista può essere considerata un problema o meno, secondo me è un problema, semplicemente perchè toglie controllo al router, allora:

sul router è in esecuzione il NAT, che per sua natura, non consente connessioni in ingresso, ammeno che non si configuri il port-forwarding, in più è disponibile anche un firewall packet-filter, che consente di controllare le connessioni in uscita e in ingresso rispetto al router, (qua non si capisce perchè, le connessioni in ingresso, dal momento che il NAT di norma non le consente), inoltre facendo vari security test come questi:

http://scan.sygate.com/
https://grc.com/x/ne.dll?bh0bkyd2

tutte le porte risultano invisibili, bene,
nonostante tutto, alcune connessioni in ingresso sono consentite in modo automatico e non modificabile, come ad esempio, quelle utilizzate dai protocolli DNS e NTP, che fanno richieste UDP in uscita e ricevono le rispote in ingresso, ATTENZIONE:
come mai tali risposte passano attraverso il router, nonostante la presenza del NAT e addirittura, nonostante abbia configurato il firewall per bloccare qualsiasi connessione in ingresso ?
Le risposte possibili sono due:

1) il firmware è stato progettato in modo da consentire il passaggio trasparente di determinati protocolli, attraverso il NAT ed ignorando il firewall, presumo allo scopo di semplificare la vita ad utenti non esperti.

2) l' altra ipotesi è che invece ci sia una falla nel firmware, relativa al protocollo UDP, che invalida sia il NAT che il firewall, e questo, oggettivamente sarebbe un problema.

Io mi chiedo, nel primo caso, quali saranno i protocolli consentiti, dal momento che non c' è alcuna documentazione in merito ?
Fatemi sapere se con altre versioni meno recenti di firmware, il problma si verifica.
Per verificare il passagio dei protocolli è semplicissimo, allora:

Per il DNS, configurate manualmente gli indirizzi DNS nelle impostazioni di rete, dopo di che provate ad aprire il browser e cercare un indirizzo qualsiasi (che siete sicuri risponda), se il sito risponde vuol dire che avete ricevuto la risposta dal server DNS, ovvro che il pacchetto in ingresso è passato.

Per NTP invece, aprite le proprietà dell' orologio e agiornate l' ora con il server NTP predefinito, anche in questo caso se ottenete la risposta, vuol dire che le connessioni in ingresso passano.

Fate queste verifiche con e senza firewal (quello del router), coloro che hanno il mio stesso firmware, dovrebbero ottenere gli stessi risultati,
vorrei sapere se cio si verifica anche su altri firmware.