Александр

По двору прошелся жулик и попытался хакнуть эксплойтом для "майбаха" (условно) все тачки в вашем дворе. Майбахов не нашлось, этот жулик пошел дальше и забыл уже про ваш дворик.

Надо ли защищаться от атаки, не релевантной вашему сетапу? Не надо.
Надо ли делать выводы об уязвимости того или иного оборудования? Надо.
Надо ли проверять свои конфигурации на эксплойты? Надо.
Надо ли реагировать на всякую нерелевантную хрень в логах с ошибками порядка 400? Не надо.
Надо ли позаботиться об оркестрации быстрого развёртывания ваших серверов на случай взломов или проблем с железом? Конечно надо!

Вообще, если ваш сетап на виртуальных машинах в повторяемой среде и с декларативной конфигурацией вроде кубера или докера, то вы легче сможете пережить всякие такие факапы.
Схема такая.
Есть признаки взлома - бэкап логов, снапшот базы, бэкап стораджа, остановка сервисов (если позволяет продакшн), анализ атаки и последствий. Устраняем уязвимость по вектору атаки (гугление по логам и курение тредов), правим конфиги развёртывания и запускаем прод. Потом долго и тщательно разбираемся по логам, снапшотам и бэкапам что затронуто. Делаем тестовый чистый сетап по старой конфигурации и сравниваем пофайлово с атакованной системой, выясняем в какие места вмешались злодеи. Дифаем базу и смотрим на подозрительные различия. Делаем выводы, объявляем об утекших данных, если есть такие признаки (чтобы не подставлять пользователей), принимаем превентивные меры против похожих векторов атак.

Итого, залог успеха - это хранение конфигураций в гит-репозитории, своевременные бэкапы, хранение бэкапов на отдельных изолированных стораджах, оркестрация и автоматизация развертывания, подробное эшелонирование логирование с бэкапами логов, смоук тесты на нестандартную активность в БД, по сетевым интерфейсам, трафику, процессору, памяти, файловым системам, логам...

Это взгляд дилетанта по безопасности, если чего пропустил -- поправьте. Если где не прав -- расскажите.

если хочешь автоматизировать изучай sed awk perl и иже с ними.

если нужно разово - запиши в файл куданить в /run отредактируй и используй.

Ctrl+d
Ctrl+d

Ну или по хардкору (убить ssh сессию):
Enter
~
.

Загрузчик Linux затрется. Нужно будет загрузиться с диска с Linux и восстановить загрузчик

Не во всех роутерах есть настройка разрешающая подключение и управление по WAN по tr069 или тем более http.
Всегда использовали роутеры на раздачу WIFI через подключение LAN и отключение роутерных функций (dhcp nat и т.д.) все работало прекрасно, 1 LAN порта не жалко, а главно - работает даже с роутерами у которых WAN в виде ADSL, PON или Coax порта

Можно зайти с другой стороны.

Судя по описанию, на камерах установлен переменный битрейт.
Если рег и камеры поддерживают h.265, то на 8Мп камерах можно ограничить максимальный битрейт до 8192 Кбит/с. Кроме того, можно поэкспериментировать с фреймрейтом и установить 10-12 кадров в секунду (этого, по моему скромному восьмилетнему опыту, для 95% задач более чем достаточно). Тогда битрейт можно будет уменьшить до 3072 Кбит/с.

На 2Мп камерах аналогично, при наличии h.265, можно ограничить битрейт до 2048 Кбит/с, а при 10-12 кадрах в секунду - до 768 Кбит/с

Провайдер тебе даёт всего 1 IP адрес, по тому именно разветвить тебе не получится, как ни старайся (как правило)

Вставляй кабель от провайдера в wan-порт первого роутера.
От первого роутера потом тащи кабель до второго.
Второй роутер переведи в режим точки доступа.

Таким образом за маршрутизацию и поддержание локальной сети будет отвечать первый роутер.
Второй будет выполнять лишь роль коммутатора и точки доступа к этой сети.

(сделано допущение, что "роутером" названо домашнее устройство с функциями маршрутизатора и wifi-точки доступа)

Поскольку POE-свитчи у вас на 100M, то и канал от них до свитча 2 будет 100M, даже если вы туда поставите свитч на 1G.
Надо, чтобы хотя бы аплинк-порт на POE-свитчах был на 1G.

Как уже сказали, такой дом одним роутером не покрыть, нужна mesh-сеть
Хорошие готовые варианты https://promo.keenetic.ru/mesh/ или https://www.tp-link.com/ru/mesh-wifi/ ну и отдельный роутер на крышу для приема 3/4G, а так-же мое любимое "Все что может быть подключено проводом - должно быть подключено проводом"
Но конечно здесь в идеале найти того кто на месте сделает радиоанализ и распланирует сколько и где ставить точек. Может хватит двух трех, может придется в каждую комнату ставить.

Прежде всего ликвидировать кашу в голове. Серверу - серверово, медиастанции - свое. Валить все это в одну кучу, да еще на ProxMox - Ну, наверное, можно, если хочется потом просиживать за чтением манов на тему "как пробросить то и это куда-то" или еще каким.

Начинаем со списка "Какие я хочу сервисы"
Потом их группируем по возможности выполнения на одной платформе (потому что TV, NAS, VPN в одной коробке будут смотреться примерно как автомобиль с лыжами и крыльями)
И потом уже начинаем подбирать платформы - а их тут как минимум две