Предполагая, что Ваш маршрутизатор является типичным потребительским устройством брандмауэра/NAT, Вы не должны волноваться о своем сервере, являющемся видимым к Интернету. Это не.
По умолчанию ничто на Вашей внутренней LAN не достижимо из Интернета. Брандмауэр с сохранением информации на Вашем маршрутизаторе только позволит интернет-трафик в Вашу LAN, когда тот трафик будет частью ранее установленного соединения (инициируемый, по-видимому, исходящим соединением от машины на Вашей LAN). Если Вы хотите, чтобы Ваш сервер был видим к Интернету в целом, необходимо сознательно настроить маршрутизатор для передачи соответствующего порта (портов) серверу. Просто не делайте этого, и Ваш сервер должен быть невидим для Интернета.
Решения о маршрутизации принимаются на основе совпадения самого длинного префикса. Пример Par, когда вы маршрутизируете сеть 192.168.0.0/24 на интерфейс dmz1 и хотите маршрутизировать 192.168.0.1/32 на интерфейс dmz2, тогда это можно сделать, просто добавив маршрут
route dmz2 192.168.0.1 255.255.255.255 a.b.c.d
, потому что префикс / 32 длиннее, чем /24.
/32 - максимально возможное совпадение префикса. поэтому в вашей конфигурации вам пришлось удалить маршруты для четырех хостов и добавить новые маршруты (CLI). Если вы используете ASDM, вы можете редактировать маршруты.
Нет, лучше добавить ACL, чтобы сначала заблокировать 4 IP-адреса для маршрутизации через интерфейс частной сети, а затем проложить маршрут, по которому они будут проходить через общедоступную сеть. Вам необходимо сначала определить логику маршрутизации того, как трафик поступает в вашу сеть, и назначить ее нужному интерфейсу.