De façon général essaye de garder comme règle 1 port en entrée ouvert = 1 port en local, évite autant que possible les plages de ports entières, c'est dans des cas précis.
Maintenant concernant Qtransmission, si je dis pas de bêtise par défaut il prend le port 51413 en entrée (tu peux vérifier dans ses options).
Donc ta règle sera d'autoriser en port source 51413 (ce qui arrive d'internet depuis les autres clients torrents), en port de destination 51413 (ce qui sort de ton routeur vers Qtransmission sur le NAS), en TCP, vers ton NAS. Et c'est tout.
Cela peut se répeter pour le reste (ports 80 et 443 pour le serveur HTTP / HTTPS, ect ...).
Ainsi tu exposes le moins possible et tu évites l'automatisme Upnp qui est pas sécurisé (le jour ou tu chopes une crasse, avec l'Upnp, elle pourra ouvrir le port qu'elle veut pour recevoir les ordres par exemple...)