NAT en firewall zijn twee verschillende dingen.

Bij Network Address Translation (de naam zegt het al) wijzigt de router in pakketten van LAN naar WAN het afzender IP-adres (bijv. 192.168.0.10) in het WAN IP-adres (bijv. 80.1.2.3), en de andere kant op gebeurt het omgekeerde met het bestemmings IP-adres (meestal is er sprake van NAPT en wordt ook de source port aangepast en vice versa).

Stel jouw PC start een http (dus TCP) sessie met security.nl, dan kunnen adressen en poorten in het eerste pakket er als volgt uitzien (telkens IP-adres:poort):

Jouw PC: van 192.168.0.10:1234 naar 213.156.1.80:80
NAT wijzigt dit in bijv. 80.1.2.3:50000 naar 213.156.1.80:80

Bovendien slaat de router alle drie die adres:poort combinaties op in een tabel, en bewaart die regel een bepaalde tijd. Als er binnen die tijd een antwoord komt van 213.156.1.80:80 naar 80.1.2.3:50000, dan zal de router het bestemmings-adres en poort wijzigen van 80.1.2.3:50000 in 192.168.0.10:1234, en dat pakket bij jouw PC afleveren.

Belangrijk: de NAT router stuurt alleen pakketten van buiten naar binnen als hij een bijbehorende associatie in z'n NAT-tabel vindt; alle andere pakketten worden gedropped (tenzij je een "server" hebt ingesteld in je router, dan gaan daar alle niet afleverbare pakketten naar toe).

Bij TCP is sprake van (virtuele) verbindingen: er zijn speciale vlaggetjes in TCP pakketten gedefinieerd waarmee wordt aangegeven dat een verbinding wordt beëindigd. Als de NAT router dat ziet kan hij meteen de tabel-entry verwijderen.

Bij UDP bestaan die vlaggetjes niet, dus blijft een tabel-entry vaak langer bestaan (bijv. 5 minuten). Dat is prima, want bijv. een DNS server kan er best lang over doen voordat deze een antwoord stuurt.

Kortom, bij NAT (NAPT) verbindingen maak je een tijdelijk tunneltje voor retourpakketten (die aan strikte eisen moeten voldoen) van buiten naar binnen.

De basisfunctie van een firewall is pakketten aan de hand van allerlei criteria wel of niet doorlaten, niet het wijzigen van waarden daarin zoals NAT doet. Overigens houdt een stateful firewall een vergelijkbare tabel bij als NAT, enige overlap in functionaliteit is er dus wel.

Terug naar je vraag, wat bedoel je precies met dat je router niet 'filtert' op UDP pakketten? Zie je iets in een sniffer dat je niet kunt verklaren o.i.d.?

NAT beschermt je juist wel, in die zin dat het niet mogelijk is om vanaf Internet (de WAN zijde van je NAT router) een verbinding te openen naar een PC in jouw LAN, doodeenvoudig omdat de router niet weet waar hij het eerste pakket naar toe moet sturen.
Zodra je vanuit je LAN een verbinding naar buiten opent (het eerste pakket) wil je natuurlijk wel retourpakketjes ontvangen, maar alleen voor die specifieke verbinding.
Ah, het is van een UDP poort veel lastiger vast te stellen of daarop iets staat te luisteren dan van een TCP poort.
Vanaf Internet komen ze niet door jouw router heen. Iets anders is het als je een draadloos netwerk hebt aan de LAN kant.Als de firewall in je router dit ondersteunt kun je alle verkeer op de poorten 135 t/m 139 en 445, beide richtingen, zowel TCP als UDP, blokkeren. Daarmee voorkom je dat evt. malware in jouw LAN via Microsoft protocollen files uitwisselt of wachtwoorden lekt.
Voor op PC's vind ik zelf de ingebouwde XP SP2 firewall goed genoeg om me, op m'n LAN, tegen wormen e.d. te beschermen (d.w.z. tegen ongepatchte lekken in luisterende services voor zover de XP firewall die blokkeert).

Als je ook gewaarschuwd wilt worden dat een applicatie op jouw PC onverwacht een verbinding maakt met Internet, dan heb je een personal firewall nodig die checkt op uitgaande verbindingen (egress). Voor zover ik weet is Comodo gratis, maar adviezen daarover laat ik aan anderen over op dit forum.

Helemaal correct.

Aanvulling op antwoord van SirDice: [url=http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol]ICMP[/url] wordt voor verschillende doeleinden gebruikt, o.a. diagnostiek waaronder ping, maar ook voor ondersteuning van TCP en UDP.

In principe kun je alle ICMP blokkeren behalve type 3: [url=http://en.wikipedia.org/wiki/ICMP_Destination_Unreachable]Destination Unreachable[/url]. Daarvan is code 4 (datagram too big) de belangrijkste. Zie [url=http://en.wikipedia.org/wiki/Path_MTU_discovery]Path MTU Discovery[/url] en [url=http://en.wikipedia.org/wiki/Maximum_transmission_unit]MTU[/url] voor meer info.

Als je ICMP type 3 codes 0 en 1 niet blokkeert, en de bestemming (of iets onderweg) stuurt deze, hoef je niet op een timeout te wachten als de bestemming niet bereikbaar is.

Als je traceroute wilt gebruiken (tracert in een windows command prompt venster) dan zul je ook ICMP type 11 moeten toelaten. Met de meeste andere ICMP messages is misbruik mogelijk. Deze kun je, zomogelijk, het beste blokkeren. Google naar block icmp geeft een hoop info mocht het je interesseren.