DMZとLAN内ブリッジ接続

その理解で問題ありませんよ。 ルーター（ファイアウォール）は ・LAN⇒WAN：許可 ・WAN⇒LAN：禁止 という基本ルールで動作するのでWAN側を起点とする攻撃は防御しますが LAN側を起点とする攻撃は原則防御してくれません。 ※ 上記ルールだけではWAN側からLAN内のサーバーにアクセスできないので、 　 例外ルールも必要です。 　 ・WAN⇒LAN内の特定サーバーの特定ポートに対するアクセス：許可 攻撃者はWAN側にいるのでWAN側からLAN内を直接攻撃することは出来ませんが、 万一LAN内に設置したサーバーのrootを奪取されると、LAN内のサーバーを 起点とした攻撃を行われる可能性が否定出来なくなります。 サーバーからLAN内PCへの攻撃（アクセス）もそう、サーバーそのものに トロイの木馬を仕掛ける、サーバーを踏み台にしてさらに別のサイトへ攻撃..etc. DMZを持てるルーターの基本ルールは以下の通りです。 ・LAN⇒WAN：許可 ・LAN⇒DMZ：許可 ・WAN⇒LAN：禁止 ・WAN⇒DMZ：許可 ・DMZ⇒LAN：禁止 DMZに置いたサーバーのrootを万一奪取されても、DMZ⇒LANは禁止なので 少なくともサーバーが直接LAN内に攻撃することは出来ないわけです。