uma regra NAT forward de fora para dentro, é apenas um mapeamento simples de uma porta pública para um ipaddress interno e uma porta, dizendo "SE um pacote é recebido nessa porta pública, encaminhe-o para o servidor X na porta Y".
Vá para o link e procure seu modelo de roteador para obter instruções sobre como criar uma regra de encaminhamento. Geralmente, você deseja uma regra de encaminhamento para cada serviço que planeja expor.
se todos os serviços estiverem no mesmo servidor e seu roteador puder oferecer suporte, você poderá criar uma regra DMZ que envie todo o tráfego não solicitado para o seu servidor, para que você não precise criar várias regras para cada protocolo , mas isso significa que seu servidor está completamente exposto, então você precisa bloqueá-lo para fazê-lo com segurança.
O SSH pode ser encaminhado com segurança, se você configurá-lo para usar Chaves em vez de senhas, mas é muito perigoso usar uma senha fraca para o ssh, e não muito mais seguro para usar uma senha bem strong. O deslocamento de portas é uma boa ideia, mas longe de ser à prova de balas. Houve um artigo sobre slashdot nesta semana sobre scanners bruteforce distribuídos procurando por portas altas para ssh. link link
O VNC NÃO é seguro para encaminhamento sem algum tipo de wrapper, como o ssh. Depois de configurar o encaminhamento de porta, você deve encontrar tutoriais copiosos sobre como configurar o vnc para acesso em túnel sem expor diretamente o vnc à Internet.
boa sorte