1. Да верно, но лучше открывать доступ к тику по PingKnocking. Тут момент в безопасности.
2. Все верно, просто через dst-nat делайте проброс портов. Опять же из соображения безопасности делайте не порт в порт.
3. Верно, проброс портов через dst-nat.
Для проверки можете подключить ПК к порту откуда к вам приходит внешка, прописать адрес с "белым" адресом из той же сети и проверить
