Does manual port forwarding conflict/prevent UPnP port forwarding?
Eles substituem o que o UPnP tenta fazer.
Is there better way (security-wise and reliability-wise) to set up my hardware?
Não abra 80, se possível. É o primeiro porto que os atores externos irão escanear ao percorrer a rede. Você realmente não quer expor seu NAS, a menos que você realmente confie nele. Pense em todos os patches de segurança que seu PC recebe, provavelmente seu NAS receberá atualizações de 1-2 FW e a maioria das vulnerabilidades encontradas no futuro nunca serão corrigidas.
21 é FTP, que é notório por sua insegurança. É ainda mais aconselhável que você não exponha isso.
Curiosamente, encontrei muitas unidades NAS incorporadas ao consumidor ao trabalhar o helpdesk em um ISP que iria adivinhar toda a tabela NAT com itens e causar todos os tipos de problemas (como o DNS não funciona!). De longe nem todos são assim, mas era comum o suficiente para ser algo que procurávamos assim que víamos comportamentos estranhos com certos serviços. A configuração da idéia para evitar esse tipo de coisa é um tipo de VPN em que você volta para sua própria rede e depois acessa os serviços do NAS por meio desse túnel. A maioria suportará SSH que pode razoavelmente ser usado como um túnel, o PuttyTray é ótimo para isso no Windows.