Los buenos troyanos son de "resolución inversa", o sea, es el troyano el que se pone en contacto con el atacante iniciando una conexión atravesando el router de la victima. No hay que hacer NAT ni nada parecido.

Por eso es importante tener algún tipo de filtro en plan firewall en el router de tal forma que solo se autorice la salida por los puertos normales. Esto no evitaría que un troyano no saliera por el puerto 80, pero al menos es un filtro más.

Saludos
Hooker