Ich würde keinen Zugriff über Ports freigeben.
Alle Geräte die ich von außen zugreifen lassen nutzen bei mir VPN.
Das einzige was ich extern ohne VPN verfügbar habe ist ein Minecraft Server.
Um diesen Verfügbar zu machen hängt der einfach direkt an der Fritzbox und somit auch außerhalb der Unifi Netzwerkumgebung.
Viele Dinge laufen bei mir im Docker, und um mir nicht IP und Port von allem merken zu müssen nutze ich "Heimdall" welcher ebenfalls im Docker läuft.
Wenn es so einfach wäre.... Es gibt Server (der Cloudserver), die von Dritten erreichbar sein müssen. Ich habe einen iOS-App für Dritte, die sich Daten über einen Server holt. Gleichzeitig muss der Server intern erreichbar sein. Für ein paar Anwendungen verwend eich bereits VPN, diese müssen nicht für Dritte geöffnet sein.
Außerdem: Hängt man alles vor die UDM, hat man keine Firewall bzw. benötigt man eine zusätzliche Firewall. Wie ist das bei dir gelöst?