У меня работает следующая конфигурация:
1. Создаём НАТ: Interface = WAN, Destination = WAN, Destination port = external port, Redirect target IP = host behind FW, Redirect target port = service port, Filter rule association = Create new.
2. Из-за последнего параметра FW rule создается автоматически (созданные ручками надо убрать). Единственно, что он создается самым нижним, после ALL-ALL-DENY. Его надо поднять повыше, сохранить и применить.