port-restricted cone nat или full cone nat

Дополни сообщение. Какой у тебя роутер - cisco, juniper, openwrt, keenetic, pfsense.

А потом мы уже тебе посоветуем.

huawei HG8145V5. Терминал с оптикой.
Да и какая разница. Интересует выбор опции.

https://info.support.huawei.com/info-finder/encyclopedia/en/NAT.html

Смотря что тебе надо, если просто хост в во внешнюю сеть пускать то «port-restricted cone nat» более секьюрным будет

А что там получится секъюрного, если хост в dmz?
Или там еще что-то есть?
firewall то весь на сервере.

Full cone nat
All requests from the same private IP address and port (for example, IP1:Port1) are mapped to the same public IP address and port (for example, IP:Port). In addition, any host on the Internet can communicate with the host on the intranet by sending packets to the mapped public IP address and port.

Если хост открыт трансляцию то кто угодно по связке внешний-ip:впешний-порт сможет до него достучаться

port restricted
That is, a host on the Internet (for example, IP2:Port2) can send packets to a host on the intranet only if the host on the intranet has previously sent a packet to the host on the Internet.

Ответные пакеты пройдут только от связки внешний-ip:внешний-порт к которому было открыто соединение внутренним хостом

Если есть fw на внутреннем хосте, то да особой разницы не будет.
Подозреваю что «port restricted» больше ресурсов для работы будет потребляет, что на производительности скажется.

я тебе рекомендую этот gpon-терминал перевести в режим bridge.

а роутер дополнительно поставить.

Причины:

Эта железка слабая и глючная, легко взламывается в интернете,

я тебе рекомендую этот gpon-терминал перевести в режим bridge.
а роутер дополнительно поставить.

А там ont, тогда поддерживаю предложение

Если есть fw на внутреннем хосте, то да особой разницы не будет.

Подозреваю что «port restricted» больше ресурсов для работы будет потребляет, что на производительности скажется.

Про теорию я знаю. Поставил full cone.
Пусть ему будет полегче, хоть там загрузка cpu и так процентов 5-6.

Можно конечно пробросить vlan с интернетом и просто ppp поднять на сервере, но тогда отвалится wifi на роутере.
Или как-то городить wan на одном из его ethernet и заворачивать его для wifi назад.
Так себе способ.

Там несколько vlan. Internet, iptv и телефон.
У меня есть роутер с sfx. Телефон бы поднял, но в ее производительности тоже сомневаюсь.
Да и утилизация cpu на терминале 6%. С моими, обычно не загруженными, 200mbit думаю вывезет.

ну это решать тебе.

у меня дома обычно такие железки я сразу перевожу в режим моста и ставлю за ним mikrotik.

потому что вокруг полно «мамкиных хакеров», пароли в виде «telecomadmin/admintelecom», постоянно дырявые прошивки, и другие проблемы.

А остальные vlan можно прокинуть через igmp-proxy и другие решения, которые вроде не сложно решить.