Oui
Oui, en passant, c'est du PAT, pas du NAT mais tout le monde fait l'erreur (pour faire simple, le NAT c'est de ton réseau vers Internet et le PAT c'est d'Internet vers ton réseau)
Oui tu peux, mais ce n'est pas pertinent (illogique n'est pas le bon terme)
--------------
Si tu n'as pas besoin d'administrer ton nas depuis le net, n'ouvre pas l'accès à DSM, même en changeant les ports, ce qui, soit dit en passant, n'apporte presque rien niveau sécurité (quoiqu'en disent les tutos ou la doc de Synology). Il vaut mieux laisser les ports d'admin (22/5000/5001) par défaut.
Si ça te rassures de les changer, fais le simplement avec ta box (tcp 1980 -> tcp 5001).
Je te propose 3 approches plus sécurisées (par ordre décroissant) :
le plus facile à mettre en place (c'est vraiment très facile) mais un peu plus contraignant à l'usage : utilise le serveur VPN du Synology
le gros avantage c'est que tu pourras accéder à toutes les applications de n'importe où et de manière sécurisée comme si tu étais chez toi (y compris les partages Windows/Mac/NFS)
l'inconvénient c'est qu'il faut pouvoir faire la configuration VPN sur le client, ce qui n'est pas toujours possible (ton poste de travail en entreprise par exemple)
le plus compliqué à mettre en place, au début, après ça va : tu peux utiliser la fonction ReverseProxy du Synology (il y a aussi un paquet qui permet d'aller plus loin)
l'avantage c'est que tu peux rendre toutes les applications Web accessibles depuis un même port (https://tonnas.com/file, https://tonnas.com/photo, ...)
l'inconvénient c'est que ce n'est possible que pour les applications "Web"
le plus facile à utiliser mais qui peut ne pas répondre à tous tes besoins (firewall/proxy d'entreprise par exemple) : configure les applications pour qu'elles écoutent sur des ports dédiés, en général c'est à faire dans Paramètres->Portail des applications, exemple :
l'avantage c'est que tu n'es pas obligé d'ouvrir l'accès à DSM, seulement aux applications de ton choix
l'inconvénient c'est que ça t'oblige à utiliser plusieurs ports et que certains risquent d'être bloqué en entreprise
un autre inconvénient potentiel est que certains appli ne permettent pas ce réglage, donc à voir en fonction de ce que tu utilises
Après rien ne t'empêches de combiner plusieurs méthodes (la tienne et les 3 que je te propose), elles ne sont pas exclusives.
A titre perso je fais tout passer par le VPN, c'est évidemment plus sécurisé mais surtout ça me permet de ne pas me poser de questions de quel port ou quelle adresse utiliser en fonction de si je suis chez moi, en voyage, dans une entreprise (les ports VPN sont généralement ouvert en entreprise), ... Je clique sur Connecter et j'ai accès à tout comme à la maison (y compris au net si besoin).