¿No? Pues podrías explicar por qué no lo es.
Porqué lo pones modo bridge (o sea, monopuesto). Es decir, no es más que una cañería más, pero a nivel de TCP/IP no existe, es transparente, por así decirlo.
Una explicación breve, vendría muy bien.
A nivel físico el paqteito de turno (llamémosle X) entra evidentemente por la ethernet externa del router, luego va a la interna del router y de esta a la ethernet externa del equipo. Pero como hemos puesto el router en modo bridge y la IP pública (en caso de tenerla, claro) en la ethernet del equipo, para el paquetito X el paso por el router no ha existido. Para él, según TCP/IP, se ha ido directamente hacía el equipo.
Ah, ¿entonces sí es accesible?
No.
Un equipo (ordenador con sistema operativo) haciendo cortafuegos tiene serias deventajas en estos entornos. Primero, el mantenimiento, la instalación, los componentes. No podemos hablar de un equipo haciendo de cortafuegos, tendrían que ser varios, por motivos de seguridad. Los ordenadores "al uso" son mucho más susceptibles a errores (placas base, fuentes atx, ventiladores, disco duro...) además del mantenimiento típico que se le da a un ordenador (actualizaciones de seguridad, limpieza de los componentes) todo lo cual repercute directamente en la empresa.
Si y no. ¿Conoces pfsense? Es una implementación FreeBSD de la maravilla pf (packet filter) de OpenBSD. La gente monta unos equipos MUY MUY limitados (por eso del mantenimiento, fallos de hierro y demás) le meten un pfsense y a correr. Tienen lo mismo que un Cisco de millonada y medio en rendimiento. Pues, evidentemente, lo mismo puedes hacer con un GNU/Linux y esa maravilla que es iptables. A eso se refiere José María: que no se puede comparar a un cacharillo (alías router de turno) con la potencia que te ofrece el kernel completo y la máquina que tienes detrás.
A nivel "casero", pues pones una segunda tarjeta de red y te lías con las reglas del cortafuegos y el filtrado de paquetes... hasta que un día se te olvida actualizar el sistema, nada importante, un error en el cortafuegos de SuSE que permite al usuario externo el acceso al equipo. Como al modem el monopuesto (que no tiene ningún tipo de filtrado porque de eso ya se encarga el equipo destinado a tal uso) le va la moda del liberalismo económico "dejar hacer, dejar pasar" pues pasa lo que tiene que pasar.
Si, eso si. Pero eso también te pasa si lo pones en "multipuesto" y tampoco lo configuras bien.
Yo sí. En una cuestión de "concepto". En caso de fallo, es más sencillo cambiar un cortafuegos dedicado que un equipo completo. Menos componentes, menos matenimiento.
Si, también. Pero a veces eso es relativo como he intentado explicarte antes. Personalmente he probado algún que otro cortafuegos de Dlink (nada del otro mundo, cosas para novatos pobres como yo) y te aseguro que me siento mucho más cómodo y seguro con una máquina GNU/Linux haciendo esa función.