Das im vorangegangenen Abschnitt beschriebene inverse Maskieren erlaubt zwar, jeweils einen bestimmten Dienst zu exponieren (z. B. je ein Web-, Mail- und FTP-Server), hat aber z.T. weitere Einschränkungen:
- Der betreffende Dienst des ’exposed host’ muss vom Maskierungsmodul unterstützt und verstanden werden. Zum Beispiel benutzen einige VoIP-Server nicht-standardisierte, proprietäre Ports für eine erweiterte Signalisierung. Dadurch können solche Server-Dienste nur an Verbindungen ohne Maskierung betrieben werden.
- Vom Sicherheitsstandpunkt muss beachtet werden, dass sich der ’exposed host’ im lokalen Netz befindet. Falls der Rechner unter die Kontrolle eines Angreifers gebracht wird, so kann dieser Rechner als Ausgangsbasis für Angriffe gegen weitere Maschinen im lokalen Netz missbraucht werden.
Anmerkung: Um Angriffe von ’geknackten’ Servern auf das lokale Netz zu verhindern, verfügen einige Geräte über ein dediziertes DMZ-Interface (LANCOM 7011 VPN). Alle anderen Modelle mit 4-Port-Switch (LANCOM 821 ADSL/ISDN, LANCOM 1511 DSL, LANCOM 1521 ADSL, LANCOM 1621 ADSL/ISDN, LANCOM 1711 VPN, LANCOM 1811 DSL und LANCOM 1821 ADSL) können die LAN-Ports per Hardware auf Ethernet-Ebene einzeln oder "en bloc" voneinander trennen.