A ver. DMZ sí que expone totalmente la máquina a internet, todos los puertos son redirigidos a ella, salvo los que el router tenga reservados en WAN y los que específicamente estén nateados a otra máquina de la LAN. Otra cosa es que la máquina deniegue un paquete de entrada a un puerto si no hay un servicio usándolo. Pero por ejemplo, cualquiera podría aprovecharse de cualquier vulnerabilidad de OS no resuelta. Todo dependería de la configuración y firewall del OS. Es algo muy muy inseguro.
En cuanto al firewall del router, por defecto sólo aplica a comunicaciones dirigidas al router. En tránsito , hace forwarding del 100% de paquetes. No manipula nada. Estaríamos buenos.....si no fuera así habría que meterle una configuración cada vez que quisiéramos hacer cualquier tontada.
Para lo único que si veo bien el DMZ es a modo prueba. Lo pones, si funciona ya sabes que es tema de mapear bien los puertos en el router, y si no, es que es otra cosa. Pero nunca para dejarlo así.
Volviendo al tema del OP, en la parte que puedes controlar, o es mapeo en el router, que ya has verificado, o firewall del PC. De la parte que no puedes controlar (la red de operador), y dado que Movistar no aplica inventos chungos como CG-NAT que te puedan fastidiar, sólo se me ocurre que verifiques si tienes algún servicio de seguridad en red, como "Conexión Segura", que te pueda estar fastidiando.
, y sin problemas de "acceso" extraño, recuerda que para eso tienes 2 firewalls, el del router que ya de por sí es muy bueno... y el predeterminado de W10 por ejemplo, en serio, no deberías de tener ni el mas minimo problema.
