Zum Verbindungsaufbau wird ein Paket mit gesetztem SYN-Flag gesendet. Dieses geht an deinen Router, weil nur der von außen zugänglich ist. Auf deinem Router läuft aber kein Dienst, so dass das SYN Paket negativ beantwortet wird - Verbindungsversuch fehlgeschlagen. Das ist der Grund, warum es "Portweiterleitung" gibt.
Die Links habe ich scon länger nicht mehr durchgelesen.
"Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse" -> was soll das heißen? Umgesetzte Adresse = interne Adresse? Wenn solche pakete von außen kommen, werden sie immer abgelehnt.
Ein NAT-Router "rät" auch keine Empfänger. Wenn aus der NAT Tabelle der Empfänger nicht hervorgeht (und das tut er nur, wenn er vorher selbst aktiv die Verbindung hergestellt hat, z.B. beim Aufruf einer Webseite), dann wird das Paket verworfen.
Im übrigen könnten auch an deinem Windows beliebige Pakekte ankommen, ohne das dies schädlich wäre, auch ohne Firewall, denn wo kein Dienst ist, kann auch keiner in Anspruch genommen werden - d.h. wenn du dir keinen Trojaner installierst, der deine Bankanmeldedaten auf Anforderung herausgibt passiert nichts. Aber wie gesgat, aktive Anfragen von außen sind ohnehin unmöglich. UPnP sollte aber dazu wirklich aus sein, sonst könnte sich ein Trojaner selbstständig Portweiterleitungen einrichten, und das ist dann in der Tat gefährlich.
Edit: Deswegen ist für mich ein NAT-Router sehr wohl eine Sicherheitskomponente, dnen du kannst z.B. für dein lokales Netzwerk beliebige Dienste anbieten, FTP-Server o.ä., aber von außen sind diese dank NAT Router nicht erreichbar, genau wie Windows-Freigaben, ohne dass du auf den entsprechenden PCs Schutzmaßnahmen ergreifen musst.
Edit2: Da hast du dir genau einen Punkt herausgesucht, um mir kontra zu geben, ok. Das zeigt wenigstens, dass sie gelesen werden! Aber aus den Links, und die Informationen dort sind gut und entsprechen den Tatsachen, geht Sinn und Unsinn von PFs ja wohl deutlich hervor, und es hilft auch zu verstehen, was kann mir überhaupt passieren, und was nicht. Wer sich einw enig auskennt, braucht sicher keine Angst vor dme Internet haben und sich auch nicht die Mhe machen, unter dem Schreibtisch zu krabbeln und den Netzwerkstecker zu ziehen.
Edit3:
Wie muss ich das verstehen? Man kann also auch mit deaktivierter LAN-Verbindung nicht sicher sein, dass keine Internet-Kommunikation stattfindet???
Doch. Es sei denn, Windows hat einen schweren Bug...

Aber wer sagt dir, dass bösartige Software die nicht wieder aktivieren kann (Guter Gedanke, Marsupilami, das hätte ich fast vergessen

)?
Grundregel daher: Ein sicher PC ist ein PC ohne Netzwerkverbindung...