Дмитрий, входящим и так некуда идти, поэтому и файрволл на бытовых роутерах не нужен, и взяться развитому инструментарию (а также пониманию пользователем) взяться при внезапном переходе на v6 будет неоткуда
Схема такова: 80/443 перенаправляются на Caddy, который сам получает сертификаты и на основании доменного имени в запросе направляет во внутренней сети запросы на нужные ip/port.
Конечно. Но надо ориентироваться на порт 443 и HTTPS. Для этого вам нужно терминировать запросы на обратном прокси. Можно использовать Nginx, но я рекомендую Caddy из-за простоты.
При этом работать с портами не понадобится, достаточно будет поддоменов.