Un routeur NAT contient, de base, la meilleure protection qui soit : l'extérieur ne peut pas ouvrir une connexion (sauf si l'émetteur est dans la liste blanche). Les seules données entrantes que tu peux avoir, ce sont les données renvoyées par la personne vers qui TU as lancé une communication.
L'avantage, c'est que c'est très efficace contre les hackers. L'inconvénient, c'est que ça peut aussi bloquer des choses utiles (par exemple, le Peer-to-peer (qui, en soi, est parfaitement légal)), donc il arrive souvent que les personnes configurent une adresse de DMZ, sur laquelle sera envoyée toutes les communications entrantes qui ne sont pas des réponses.
Cependant, le meilleur moyen qu'a un hacker pour accéder à un ordinateur est le trojan/troyen/cheval de Troie. Il s'agit d'un petit programme qui sera dissimulé dans un message, un fichier, une archive...
Et en fait, c'est ce programme qui initialise la connexion avec le hacker, ce qui permet d'outre passer les pare-feux (qu'ils soient matériels ou logiciels)