Hm, so ganz verstehe ich nicht, warum du überhaupt Eintragungen in der PPPoE in der Firewall der DS hast. Das ist meines Erachtens überhaupt nur notwendig, wenn die DS nicht an einem Router wie der Fritzbox hängt, die ja bereits als Firewall fungiert.
Deine Fritzbox ist mit Sicherheit auch eine Firewall. Ich kenne jetzt das Model 3270 nicht selbst, aber eigentlich stellt AVM in dem Bereich ja auch nur Komplettlösungen (Modem, Firewall, Router) her. Von daher sind diese Eintragungen in PPPoE in der DS vollkommen wirkungslos (siehst du ja auch: es steht "getrennt" unter "PPPoE").
Was definitiv durch die Fritzbox geht, ist das, was du selbst geöffnet hast. Also alle Ports die wie hier sehen. Da du diese Ports aber auch in der Firewall der DS bereits geöffnet hattest, macht es keinen wirklichen Sinn auf der DS überhaupt eine Firewall zu aktivieren. - Ausnahme wäre eben, du möchtest in deinem internen Hausnetz noch etwas filtern...
Zur Sicherheit:
Das ist immer genau so sicher, wie der Dienst, der hinter einem Port auf Kundschaft wartet.
Kritisch wäre bei dir jetzt min. mal die Portweiterleitung 5000 (http auf den DSM) an deine DS. Wenn du die wirklich nutzt, dann solltest du dir klar sein, dass deine Benutzerdaten nebst Passwort im Klartext über das Internet wandern! Das ist per se schonmal ein Risiko. Wenn überhaupt, dann über https, also Port 5001. Port 5000 solltest du also schonmal schließen. Überhaupt sollte man sich überlegen, ob man den DSM von aussen zugänglich machen möchte. Immerhin ist er das Herz deiner DS und jemand, der es bis dorthin schafft kann u.U. großen Schaden anrichten.
DS-File solltest du auch auf https umstellen. Das wäre dann webDAV über den Port 5006. Analog zu Port 5000 (unsicher) und 5001 (sicherer).
Zur Cloud (6690) und eMule (46xx) kann ich dir nichts sagen. Aber der Grundsatz ist: jede Anwendung kann mögliche bisher nicht öffentlich bekannte Sicherheitslücken haben! Im Grunde wird deine Kiste umso unsicherer, je mehr Ports du in der Fritzbox aufmachst.