Einschub: Evtl. sollte ein Admin mal die ganzen Firewall Beiträge hier raus lösen und in einen gesonderten Thread packen...
Zur Frage:
Ich bin kein Security Spezi wie andere hier, aber für mich bleibt die DMZ die Zone, die von außen "direkt" erreichbar ist.
Ergo packe ich dort nur den Proxy rein, weil nur der erreichbar sein soll.
Wenn du mehr da rein packst, dann muss dir bewusst sein, dass wenn aus dem Proxy ausgebrochen wird alles was sonst da drin liegt direkt angegriffen werden kann.
Daher habe ich dort nur den Proxy drin.
Ein weiteres VLAN zur zusätzlichen Absicherung kannst du machen und schadet imo auch nicht.
Ich habe eine Route um HomeAssistant im IoT offen, weil ich den halt von außen erreichen möchte ohne VPN aufzuspannen.
Interessant finde ich weiterhin, dass du Jellifin von außen erreichbar machst.
Streamst du echt von dort aus ins Internet?
Bei Audiobooks mag ich das noch nachvollziehen können.
Gruß