Om du hade tänkt publicera hela eller delar av ditt nätverk/maskiner/dockers mot internet så skulle jag börja med att slänga din isp's router så långt åt helvete som bara möjligt.
Hade aldrig litat på en router man inte har kontroll över som har aktiva backdoors (hur öppnar de dina portar?) och på samma gång öppna utåt.
Med förutsättningen att du gör dig av med ditt säkerhetshål till router:
Hur/vad du skall öppna är ju högst beroende på applikation.
Nextcloud som ditt exempel är ju en webbsida. Det är webben du skall öppna ut emot internet, inte databas och liknande.
Så port 80 http samt eller 443 https för nextcloud.
Skall du ha mer än en webbapplikation så föreslår jag reverse proxy.
T.ex Nginx-Proxy-Manager-Official är väldigt bra/enkel.
Som alltid om man skall öppna mot internet så är det ett stående förslag att separera ens nätverk.
T.ex Om någon lyckas komma åt din unraid server eller docker, då vill du inte även att de ska komma åt dina datorer, mobiler etc...