Prueba a hacer desde dentro de la shell de la victima lo siguiente (suponiendo que la ip interna del router es 192.168.0.1:
nc 192.168.0.1 80
GET / HTTP/1.0
(ENTER)
(ENTER)
Eso te devería devolver el codigo fuente de la pagina de configuracion del router (suponiendo que esta sin contraseña)
Lo del tunnel es una opcion de netcat (al menos el que tengo yo en linux) y permite redireccionar las conexiones que llegan a un puerto a otra ip:puerto.
Desde fuera de la red no es normal que puedas acceder a la pagina de configuración del router pero si hay redireccionados otros puertos a ese ordenador puedes poner un netcat a la escucha en alguno de esos puertos haciendo que redireccione las conexiones que llegan alli al puerto 80 del router (desde dentro de la red) por lo que si accedes desde el navegador a la ip externa de la victima en el puerto que esta preparado para redireccionar te llevara a la configuracion del router desde dentro de la red.
El esquema podria ser algo asi:
| GATEWAY |p.80--
TU PC --------------------\ \-----VICTIMA
|-----|p.4321l/
Vale, el esquema ha quedado mu cutre, luego me curro algo mejor.jejeje