Hey, ich bin tatsächlich den komplett anderen Weg gegangen 
Meine Full Node läuft seit zwei Tagen ganz klassisch im Clearnet. Auf meinem Raspberry Pi läuft wirklich nur Bitcoin Core, sonst nichts – also keine extra Dienste, kein Schnickschnack. Im Router habe ich lediglich Port 8333/TCP geöffnet, damit eingehende P2P-Connections möglich sind.
Was die Sicherheit angeht: Die FritzBox ist ja sowieso schon eine Firewall (NAT + SPI). Solange nur 8333 forwarded ist, ist da wirklich nichts „offen“, was nicht offen sein soll. Optional kann man auf dem Pi noch ufw draufpacken – aber nur, wenn man wirklich weiß, welche Ports man braucht, sonst sperrt man sich schneller aus als einem lieb ist.
Bei mir wäre das dann z. B.:
-
eingehend: nur 8333 (Bitcoin P2P)
-
ggf. SSH, wenn man’s nutzt
-
ggf. lokale GUI-Ports (z. B. internes Web-Interface)
-
ausgehend: alles erlauben (sonst kann Bitcoin nicht richtig syncen und keine Peers finden)
Mehr braucht’s nicht. Bitcoin Core selbst spricht nur dieses eine Protokoll, keine Webserver-Ports oder sonst etwas Angreifbares. Das Ding ist in der Hinsicht wirklich gut programmiert. Deswegen sehe ich das Sicherheitsrisiko in genau diesem Setup als ziemlich gering an.
Verbindungen sind bei mir aktuell zwischen 35 und 42 Peers, was für eine frische Node ganz normal ist. Ich hab auch Tor und I2P zusätzlich aktiviert, aber das ist eher „Nice to have“, um dem Netzwerk mehr Diversität zu geben.
Und was du sagst mit „über die Zeit mehr Verbindungen“: Kann ich bestätigen. Wenn die Node 24/7 stabil läuft, erkennt das Netzwerk das relativ schnell und schickt dir automatisch mehr Peers rein – egal ob Clearnet oder Tor.
Am Ende sind’s einfach zwei verschiedene Philosophien:
-
Nur Tor = maximal privat
-
Clearnet + Tor + I2P = maximal hilfreich fürs Netzwerk
Beides super wertvoll, je nachdem was man möchte 
