@Ronny1978
Ich nutze auch nur 1 Port von aussen, allerdings nicht 443, da dieser reserviert ist für die LE Aktualisierung. Das meine Zertifikate automatisch erneuert werden ist mir wichtiger, als der Gedanke, so wenig wie möglich an Ports zu öffnen. Ich gehe wie du über verschiedene Subdomains und 1 offenen Port auf die jeweiligen Dienste, wie Photo, Webdav, ehm. Video. Mich stört die Angabe des Ports nicht, sehe das eher als weitere Hürde für zufällige Angriffsversuche
Meine 2 NAS und diverse andere Server sind jetzt fast 10 Jahre mit dieser Methode 24/7 online. Bisher hatte ich nur 2 erfolglose Angriffe auf meine IP. Für
mich funktioniert mein Konzept. Ich sehe eine Portfreigabe auch nicht ganz so kritisch, wie manch anderer hier im Forum. Wenn das restliche Sicherheitskonzept passend ausgelegt ist und es sich nicht gerade um eine kritische Infrastruktur, wie Industrie, Energie, Verkehr, etc. handelt, bin ich relativ entspannt.
Ich sag nur
Passwörter des Grauens. 
Erstmal den Stall vernünftig dicht machen bevor man Stahltüren einbaut und Tracker für ne Million reinstellt
