Если во внешний мир у тебя никаких сервисов не открыто, то тебя волнуют только дыры в настройке и реализации фаервола.
Если во внешний мир смотрят какие-то сервисы на фаерволе, то уязвимость в них потенциально делает уязвимыми и фаервол, и всю закрываемую фаерволом сеть.
Не защищает любой раутерный фаервол и от троянов, если их поймать на клиентскую машину (фаервол на клиентской машине с контролем приложений - может защитить).

Стратегию настройки фаервола я использую следующую:
1. разделить все используемые протоколы на "чисто внутренние" и все остальные.
2. написать правила, разрешающие внутренним протоколам ходить по внутренней сети и на сервер.
3. написать правила, запрещающие внутренним протоколам ходить где бы то ни было (если они не попали под правило 2)
4. написать правила, разрешающее создание новых tcp соединений и исходящие udp пакеты из внутренней сети для "всех остальных" протоколов
5. написать правило, разрешающее прохождение пакетов для уже установленных соединений
6. написать правила, запрещающее всё остальное

Надо ещё подгрузить модуль ip_conntrack, чтобы правило 5 могло работать и для UDP.

Разделение правил по внешним - внутренним адресам у меня сделано на IP адресах, хотя можно было бы сделать на именах интерфейсов eth0, eth1...


Блин, можно гораздо проще, но мне уже "мизинцы не позволяют". Проще - это выкинуть пункты 1, 2, 3. Тогда весь конфиг состоит что-то правил из 4х.