Notwendiger Traffic von Clients zur Gateway Zone um eine IP zu bekommen und das Internet zu nutzen

Nach der Umstellung auf die Zone basierte Firewall stellt sich mir eine Frage:
Wie reduziere ich den Zugriff von Clients aus einem VLAN V in einer von mir kreierten Zone Z auf die Zone Gateway auf das absolute Mindestmass, das noetig ist, um das Internet zu nutzen?

Der physikalische Aufbau ist wie folgt:

UDM-Pro

|

Switch--------------Clients (Ethernet)

|

AP

|

Clients (Wifi)

UDM-Pro, Switch, AP sind im Default Netzwerk

Alle Clients, die sich mit dem Wifi verbinden sind automatisch im VLAN V

Alle Clients, die sich ueber Ethernet via Kabel verbinden sind auch automatisch im VLAN V

Das VLAN V ist "isoliert" ueber das entsprechende Setting im Networks Menue.

Die Clients gehoeren jungen Leute, die generell nett, aber auch "erkundungsfreudig" sind und denen manchmal das Unrechtsbewusstsein fehlt weshalb einige Dienste (Filesharing und aehnliches) gesperrt sind. Es gibt also eine Motivation, Zeit und Brainpower, sich das wieder freizuschalten. Deshalb moechte ich den Zugriff auf das Gateway so weit einschraenken, wie moeglich.

Port 443, 80 und 22 einzuschraenken ist moeglich, aber eigentlich waere es eleganter, nur zu erlauben, was tatsaechlich sein muss. Wer weiss welche lustigen Zero-Days und uralten Protokolle, die man nicht deaktiviert hat, sich in der Ubiquiti-Software noch verbergen?

Meine generelle Frage ist:
1. Auf welche Ports des Gateways braucht es unbedingt Zugriff, um das Internet nutzen zu koennen?

1.a) Sind die Ports, die fuer das NAT verwendet werden freizuschalten oder ist die Firewall intelligent genug, um das selbst dynamisch zu erledigen?

1.b) Welche Ports verwendet Ubiquiti fuer NAT?

1.c) Was braucht es sonst noch ausser DNS und DHCP um das Internet zu nutzen?

1.d) In welcher Zone ist das NAT implementiert? (addendum)

Zusaetzlich:
2. Welche Ports verwenden die diversen Ubiquiti Apps um mit dem Gateway direkt im Netzwerk zu sprechen?

Ich konnte nur diese augenscheinlich sehr alte, aber vor allem nicht vollstaendige Dokumentation bei ubiquiti finden:
https://help.ui.com/hc/en-us/artic…nd-the-Internet
Ausserdem habe ich RFC 1631, RFC 1918, RFC 2663, RFC 2766, RFC 3022 gelesen, aber auch dort keine Vorschrift zu den verwendeten Ports fuer NAT entdeckt.

Primaer moechte ich bitte meine recht deutliche technische Frage beantwortet haben. Bitte lasst mich nicht bereuen, mich zum ersten mal seit 20 Jahren in einem deutschen Tech-Forum angemeldet zu haben

Quote from Supaman

Was ist den die Zielsetzung? Willst Du Dein Netz absichern, oder willst Du rechtlich auf der sicheren Seite sein? Das sind zwei völlig verschiedene Baustellen.

Quote from DoPe

Um es ganz genau zu nehmen, brauchst Du überhaupt keinen Port des Gateways erreichen. Dazu musst Du nur einen externen DNS nutzen und die IP Einstellungen manuell an den Endgeräten vornehmen. Da das unpraktisch ist, benötigst Du also wenigstens die Ports für DHCP (67/68 UDP eines ist Server das andere Client, glaube 67 reicht) und DNS (53 UDP und lt. DNS Standard eigentlich auch TCP).

Für die Kommunikation mit IPs im Internet sind keine Ports des Gateways und somit auch nicht die Zone Gateway relevant. Da wird von Zone X nach Zone External geroutet und eben auch diese Firewallregeln angewendet.

In welcher Zone ist denn in der Firewall-Logik von Ubiquiti das NAT selbst verortet? Oder ist das NAT bei Ubiquiti *tatsaechlich* volltransparent? Das waere schoen, allein erfahrungsgemaess waere das so eine Stelle, wo die Abstraktion ein bisschen broeckelt.
Ohne Ports kein NAT. Irgendwo muss die Translation ja stattfinden. Es ist schon deutlich einfacher, wenn man sich den Quellcode der Geraete anschauen kann, dann weiss man es wenigstens, statt sich solche Fragen stellen zu muessen *seufz*