Wie Stefan schon sagte das Portmapping und die sicherheitrelevanten Sachen sollte der Firewall Rechner/Secure Router übernehmen, sonst kommt man leicht im internen Netzwerk durcheinander, nach einen halben Jahr weiß man oft nicht mehr welchen Port man für Was und Wo umgeleitet hat und man hat mehr Ärger als Vorteile.
Habe meinen SME 7 Server längere Zeit als Server und Gateway an einen Secure Firewall Router der mittleren Klasse betrieben, das ging einwandfrei, auch wenn dann die 'doppelte Sicherheit' nicht wirklich mehr Sicherheit bringt, aber eben auch nicht Weniger
Braucht man die für das interne Netzwerk zwingend ein Portmapping, kann man das oft auch durch die Proxy Server Einstellungen bewerkstelligen, wobei man aber auch mit etwas Vorsicht herangehen sollte, sonst kann man auch Lücken aufreißen.
Zu Stefan Aussage ' Security by obscurity', bei Poertscans hilft das halt nur indirekt, aber man kann etliche Script Kiddys ganz schön verwirren wenn der FTP Server auf den Port 80 Läuft
Verwirrung erzeugen ist oft ein brauchbares Mittel und ersetzt wessentlich aufwendigere Methoden wenigstens ein Bisschen