Господа, спасибо. Проблема решена. Было письмо в техподдержку. Описание один в один как тут. Шерлок сразу написал "При создании service часто допускают ошибку указывая не верные source port обычно корректное значение в этом поле 0-65535." В самом первом посте, в логе написан порт с которого прилетают пакеты. Так, например, в первой строчке источник порт 40448 и назначение 6060. Были изменены source port при настройке проброса второго порта. (Попутаны по невнимательности. Настройка порта и адреса куда стрелять в локалке делается в SAT правиле, а не в service). Теперь вроде как заработало.

Надо внимательно заполнять service и SAT правило.
И спасибо MTRX за порядок правил SAT и Allow.