Natürlich ist es nicht unmöglich, aber um eine Firewall zu “umgehen” (also Pakete durch zu schleusen, die blockiert werden sollten) braucht es aber auch eine Sicherheitslücke in dieser oder eine unsichere Konfiguration, was ja ein anderes Thema ist. Und um diese Sicherheitslücke aus zu nutzen braucht man meist so wie so keine infizierte Netzwerkkarte. Ich sage ja nur, dass eine infizierte Netzwerkkarte im Vergleich nicht so schlimm ist wie ein infiziertes Firewall OS, da diese die Pakete immer noch durch die Firewall Software leiten muss.

Eine eigenes (vor allem quelloffenes) Firewall OS sorgt zudem zumindest dafür, dass das beabsichtigte und unbemerkte erstellen dieser Sicherheitslücke durch z.B. Geheimdienste wesentlich schwerer ist als einfach eine Firma dazu zu zwingen.

Selbst wenn das Ziel nur ist bestimmte Pakete vom LAN zu extrahieren, muss das ja die Netzwerkkarte der LAN Seite machen, und die an irgendeinen Server schicken. Natürlich kann der getarnt sein, trotzdem fällt das irgendwann auf, zumindest wenn man immer mal wieder in seine Firewall Protokolle schaut.