Nem feltétlenül. Sajnos Wireguard-dal is ugyanez a helyzet, elvileg nem válaszol UDP-n, ha nem jó az autentikáció. Ettől függetlenül portscannel rá lehet jönni, hogy ott figyel a porton. (Értelemszerűen arról az esetről beszélek, ha nincs source IP-re _is_ szűrve.)
Ha ugyanis nem magán a routeren/tűzfalon fut, hanem egy mögötte levő gépen (akár dockerben vagy VM-en a DMZ gépen) akkor 1-el több hop kell a backend eléréséhez a router mögött. Vagyis TTL-korlátozós scanneléssel el lehet dönteni, hogy nyitva van-e a portja a tűzfalon, vagy nincs. Ha nem egyforma a külső és belső háló MTU-ja, akkor asszem DF bitekkel is lehet hasonló trükkös portscannelést csinálni és biztos van még pár másik módszer, amiről nem tudok. Ha nem standard porton van, akkor valószínűleg az nem fog kiderülni, hogy mi van ott, de ettől még elkezdhetnek random próbálkozni rajta. Nyilván lehet a tűzfalon játszogatni a különféle outbound ICMP response tiltásokkal, de elég macerás, hogy akaratlanul ne ronts el vele valami lényeges funkciót (pl path mtu discovery-t).