Bene, se tu solo vuoi l'accesso HTTP, sarebbe sufficiente aprire la porta 80 tcp (HTTP) all'esterno.
Puoi anche aprire la porta 53 (udp & tcp) in modo che possano usare un server DNS pubblico, o fornire un risolutore DNS per i tuoi clienti ( non aprire Internet ). Potresti decidere di abbandonare il DNS e aspettarti che immettano direttamente gli indirizzi IP, ma è improbabile che i tuoi utenti ne possano godere.
Tuttavia, in questo modo non stai supportando HTTPS , il che significa che non saranno in grado di accedere a molti siti web, dalla loro banca ( Ho bisogno di accedere lì per autorizzare questo acquisto sul tuo negozio ... ) su Twitter ( Volevo solo che twittassi su quanto è divertente il tuo parco ... ) o su Wikipedia. Quindi anche la porta 443 tcp sarebbe un minimo.
Tuttavia, esistono siti Web per i quali è necessario port 8000 , porta 8080 , porta 8888 ...
Inoltre, sebbene tu affermi che vuoi solo fornire l'accesso al sito web, sono abbastanza sicuro che i tuoi clienti si aspettino di connettere i loro smartphone e di poter usare le loro app, che, anche se prevalentemente, saranno basate su HTTP (S) - può utilizzare qualsiasi porta.
Ti aiuterebbe con i tuoi attacchi DDOS? Sembra improbabile. Non specifichi i dettagli in cui sei stato attaccato, ma anche per i piccoli casi in cui è stato lanciato dall'interno, potrebbero farlo solo con la porta 80 aperta. È più importante limitare correttamente le risorse dei diversi clienti per garantire un utilizzo corretto di tali risorse. Fino al blocco di dispositivi violenti, se necessario.