Ich meine es WIRKLICH nicht böse, aber:
Ich habe das Gefühl dass hier mit etwas zuviel Halbwissen argumentiert wird.
Das ist alles ziemlich wild durcheinander gewürfelt und irgendwie nicht sehr naja... Realitätsnah.
Kein großes, auch nur ansatzweise modernes Netzwerk setzt noch auf Hubs - weil die Paketkollisionen exponentiell zu den Clients/Ports zunehmen, da jedes Paket auf jeden Port kopiert wird.
Heutzutage benutzt man Switches und damit ARP (Address Resolution Protocol) um MAC-Adress-basiert Geräte direkt anzusprechen statt jedes Paket blind ins komplette Netzwerk zu senden.
Kurze Begriffsklärung: DMZ - Demilitarisierte Zone - Geräte welche direkt aus dem Internet ansprechbar sind und technisch betrachtet eigentlich noch "Vor dem Router" (wenn das Internet vorne ist) hängen.
Eine Firma welche alle Clients in eine DMZ hängt würde heute vermutlich keinen einzigen Tag überleben.
Und ja, mit IPv6 haben wir tatsächlich den Fall dass jeder Client, auch in einem privaten Netzwerk, eine eigene, öffentlich erreichbare IP Adresse haben kann.
Das Entscheidende ist aber, dass der gewöhnliche Router diese Geräte eben NICHT von außen erreichbar macht, jedenfalls nicht ohne Zutun des Nutzers.
Sonst hätten wir nämlich direkt wieder eine DMZ.
Bei IPv4 hat man als Privatnutzer i.d.R. neu genau eine IP Adresse. D.h. es benötigt AKTIVES routing zum Gerät damit dieses überhaupt aus dem Internet erreichbar ist.
Das heißt auch, dass der Administrator des Routers das Ganze aktiv einstellen muss.
Ein Switch/Hub ist dafür zuständig dass Geräte sich innerhalb eines Sub-Netzes & VLANs finden.
Ein Router ist dafür Zuständig, dass sich Netzwerkgeräte über Subnetze und/oder auch VLANs hinweg unterhalten (oder auch eben gerade NICHT) können.
Ein gewöhnliche Firewall wie sie jeder Haushaltsübliche Router einsetzt kann keine Angriffe auf Lückenhafte Client-Software unterbinden, das benötigt man Deep Packet Inspection.
Sie kann lediglich steuern welcher Dienst (Port & Protokoll) von welcher "Quelle" aus erreichbar ist.
So und damit sind wir beim entscheidenden Punkt:
Wenn wir jetzt netfilter (die linux firewall) auf die Dreambox packen, könnte man damit nicht mehr filtern, wie es jeder normal Router ohnehin schon kann und macht.
Man möchte die "Bösen" von Zugrauff aus das eigene Netzwerk fern halten, das gelingt am Besten an einem möglichst zentralen Punkt und das ist nun mal der Router.
Alternativ kann man sich, wenn man einigermaßen paranoid ist, auch eine eigenständge Firewall hinter den Router und vor alle weiteren Clients hängen, welche den gesamten Traffic vom und ins Internet nochmal komplett filtert.
Hier gibts es z.B. recht bekannte Open Source Linux Distributionen wie IPFire. Das kommt dann auch mit Firewall und Intrusion Prevention System welche für den Privategebrauch mehr als ausreicht.
Und nochmal, auch in Unternehmensnetzwerken hat nicht jeder Client eine eigene Firwall (der Wartungsaufwand wäre unvorstellbar).
Stattdessen man hat zentrale Instanzen die all Das voneinder trennen was getrennt sein muss (logisch über VLAN/routing oder auch physikalisch in Form komplett losgelöster lokaler Netze), und (hoffentlich) auch alles filtern was gefiltert werden muss.
TLDR; Eine eigene Firwall ist nur auf Geräten interessant welche direkt, und ohne vorgeschalteten Schutz im Internet hängen. Sie ist dann z.B. notwendig um festzulegen welche Dienste nur aus dem lokalen Netz und welche aus dem öffentlichen Netz erreichbar sind.
Das ist in einem gewöhnlichen Privatnetzwerk mit Glasfaser/Kabel/DSL und Router aber faktisch NIE der Fall.
Und jeder, der so einen Fall privat konstruiert weiß in aller Regel was er treibt (oder handelt grob fahrlässig).
PS: Diese Erläuterung hat absolut keinen Anspruch auf Vollständigkeit (dafür gibt's sehr gute Literatur in Büchern und im Netz).
Das Thema KANN schnell unendlich komplex werden und ist dann für Laien auch sehr schnell nicht mehr nachvollziehbar.
PPS: Bei einem erfolgreichen root exploit sind alle auf dem betroffenen Gerät getroffenen Sicherheitsmaßnahmen direkt und ausnahmslos vollständig unwirksam da man alles was eigentlisch schützen sollte "einfach so" abschalten kann.
Lediglich externe Maßnahmen können ggf. noch schlimmeres verhindern (z.B. dass ein Client in der Finanzabteilung schlicht keine möglichkeit Hat irgendwie auf ein produktionskritisches Kernsystem zuzugreifen).