Nesmíš ty routery nechat na veřejce. Jak je tam veřejka, tak se to dřív nebo později ten routřík podělá. Tyhle levné šroty to prostě neustojí.
Děláme to tak, že pokud někdo chce veřejku, tak jí dostane osekanou. Stejně jí 99% lidí potřebuje jen kvůli konzolím. Na NAT GW se nastaví DROP na TCP a UDP dst.port: 20,21,22,23,53,80,123,161,443,2000,8080,8291 kdy administrace routerů zůstává normálně na 80/TCP. Jakmile někdo chce opravdu plnou veřejku, musí si nasadit pořádný router, který ustojí útoky z venku, nebo alespoň mikrotika s posledním ROS. Ano "síťová neutralita" blablabla. S*át na to, důležité je aby se wifiroutříky nehroutili.