Buenas chemag
No, los datos que se imprimen en la sección citada de virtual servers o incluso por comandos en la shell reducida, tienen un ámbito muy reducido, y no reflejan realmente el estado real interno. De echo existen multitud de reglas "internas" en los HGU en iptables que nunca verás en la interfaz Web. En cualquier caso es raro que algo así suceda, debido a que el mapeo de puertos es algo extremadamente habitual por todos, y nos habríamos dado cuenta hace tiempo de que no funciona como es debido. Yo mismo tengo un HGU Askey, anteriormente un Mitrastar, y nunca vi un comportamiento erróneo en ello. Pero por supuesto la posibilidad existe, la forma más efectiva de verlo es simplemente en un caso similar, acceder internamente y echar un ojo a todas las reglas iptables en la tabla NAT.
Respecto a los ajustes dentro del apartado del Firewall de filter, son reglas siempre desde el punto de vista de lo que llamamos tráfico "entrante". Desde el punto de vista de un equipo hay 3 tipos de tráfico: Entrante, Saliente y Reenviado. Esto causa generalmente mucha confusión, porque se suele confundir el tráfico "entrante" como cualquier tráfico que va hacia tus equipos. El verdadero tráfico "Entrante" para un Router es el tráfico que va destinado al propio Router. Puede venir desde Internet o desde tu propia red local. El tráfico Saliente es el que sale de él generado por él. El tráfico "Reenviado" es el tráfico que el Router está tomando de una red y colocándolo en otro. Entender esto es de vital importancia. El Router por defecto bloquea TODO tráfico entrante que venga desde Internet, salvo el tráfico que haya sido solicitando antes desde el interior de la red y el Router mantenga en la tabla NAT, puesto que entonces el tráfico desde Internet es realmente tráfico Reenviado, es decir, que el origen es Internet y el destino es un equipo de la red local, cambio de red -> Reenviado, que es lo mismo que pasa cuando añadimos manualmente un puerto en VirtualServer
Por ende, las reglas en filter del Firewall son reglas relativas sólo (en estos equipos) al tráfico entrante, es decir, tráfico externo dirigido directamente al Router, para poder usar algún servicio de este, como acceso SSH (al router), acceso Web (al Router)... Las reglas por defecto que el Router tiene en dichos puertos es para permitir por defecto que los equipos de gestión de Movistar (de ahí que especifiquen IPs concretas) puedan tener acceso a dichos servicios de forma remota. Si dichas reglas se eliminan nadie puede acceder de forma externa a dichos servicios, o si se editan y suprime el origen de la conexión cualquiera podría conectarse a ellos. No hay una IP de destino porque la IP pública del Router es dinámica y puede variar, y no puedes meter en esas reglas como IP un equipo de la red local porque dicho tráfico no se está reenviado a la red local, hace referencia al propio Router.
