Access og NAT regler på en Cisco PIX 501

Jeg har nu endelig fået åbnet for http på min PIX 501, men er lidt i tvivl om hvorfor nogle af de ting jeg har prøvet ikke virkede. Desuden vil jeg også gerne vide om der er 'for' åbent for indadgående trafik. Jeg vil helst ikke have noget hacking indenfor.

Setup:
Pix501 => Synology DS209+ NAS med webserver

Config:
Virker: access-list outside_access_in permit tcp any host xx.xxx.xxx.xxx eq www

Virker: access-list outside_access_in permit tcp any interface outside eq www

Virker ikke: access-list outside_access_in permit tcp interface outside interface outside eq www

Samt:
static (inside,outside) tcp interface www SERVER www netmask 255.255.255.255 0 0

1) Hvorfor virker den (hvor der står virker ikke) ikke?
2) Har jeg åbnet for meget med den anden regel (hvor der står virker) og er det to ikke identiske?
3) Hvad gør fixup protocol http 80 og skal det være sat til fixup eller no fixup?