Fast alle DSL-Router sind heute NAT-fähig. Sie können Anfragen aus dem Internet an einem bestimmten Port an einen Computer im eigenen Netzwerk leiten. Läuft dort zum Beispiel ein Webserver, ist dieser aus dem Internet auf Port 80 zunächst nicht erreichbar. Erst wenn in der NAT-Tabelle Port 80 auf den Computer geleitet wird, auf dem der Webserver läuft, ist dieser auch über das Internet erreichbar.
Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen Herstellern bereits als NAT-Firewall bezeichnet, obwohl nicht das Schutzniveau eines Paketfilters erreicht wird. Eine im Router aktivierte Firewall ist ein guter Schutz gegen Angriffe auf geöffnete Ports auf Computern im privaten Netzwerk.
Die Sperre lässt sich durch die Konfiguration eines Port Forwarding umgehen, was z. B. für manche VPN- oder andere Dienste-Verbindungen notwendig ist. Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären Paketfilter, teilweise auch stateful. Als Betriebssystem kommt auf vielen Routern dieser Klasse Linux zum Einsatz, als Firewall kommt dann meist iptables zum Einsatz. Einen Content-Filter enthalten solche Produkte zumeist nicht.