Der Ansatz klingt für mich erstmal etwas paranoid, aber ich kenne Dein Netzsetup nicht. In meinem lokalen Netz darf alles nach draußen, von draußen aber nix rein, es sei denn, die Verbindung ist schon von drin aufgebaut worden.
Der 612er verwendet lokal soweit ich weiß Port 5083, remote sollte keine SIP-Kommunikation zu einem anderen Server als dem sipgate.de stattfinden. udp von sipgate.de von port 5060 solltest du also erlauben. Und immer schön mit dem state-Modul in der Firewall arbeiten, --state=established,related hilft auf jeden Fall. Für die Datenverbindung weiß ich nicht, welchen Port Netgear da standardmäßig verwendet (falls es immer der gleiche ist). Bei sipgate sind die Ports zufällig, das wirst Du schlecht einschränken können. Es reicht da auch nicht aus, nur sipgate.de freizugeben, da die Rechner, mit denen Du Sprachdaten austauschst, andere sind. Welche und wieviele weiß ich nicht, kannst du aber im Prinzip herausfinden, indem Du Dir den SDP-Teil der Signalisierungspakete anschaust.