Was über eine Internetbox auf Dein internes Netz weitergeleitet wird, hängt weitgehend davon ab, ob Du Deinen eigenen Router einfach generell in die DMZ der Internetbox gestellt hast, so das wirklich alle eingehenden Ports (mit ganz wenigen Ausnahmen) einfach durchgelassen werden, oder ob Du Dir die Mühe gemacht hast, nur die wirklich echt benötigten Ports einzeln in der Internetbox an Deinen eigenen Router weiterzuleiten.
Solange Dein eigener Router mit seiner eigenen Firewall sehr gut mit dem WAN-Angriffs-Risiko umgehen kann, ist der generelle DMZ-Modus kein wirkliches Sicherheitsrisiko, aber mit ev. Warn- und Bedrohungsmeldungen musst Du dann einfach leben, oder sie durch die eventuell mögliche Herunterstufung eines Message-Levels Deines eigenen Routers einfach ausschalten.
Selbst benötige ich auf meiner eigenen Internetbox übrigens lediglich vier einzelne Portweiterleitung aus dem privaten Bereich für vier unterschiedliche VPN-Server und deshalb habe ich auch bewusst auf die Einschaltung des generellen DMZ-Modus verzichtet.
Falls ich aber, was ich als Test gelegentlich mache, z. B. den SSL-Port TCP 443 weiterleite, dauert es keine Viertelstunde bis die Portscannerbots aus dem Internet dies entdecken mit der Konsequenz, dass ich dann anschliessend regelmässig mit 5-10 Angriffsversuchen pro Stunde über den SSL-Port beharkt werde.
