Есть скрин:

Как я понял:
Правило начинает действовать при условии:
1. Если характеристики транспортного уровня пакета соответствуют http-outbound, т.е. тип udp/tcp, local port, remout port
2. Если пакет поступил на интерфейс LAN.
3. Если пакет принадлежит сети lannet.
Далее:
Если эти три условия совпали, то пакет пересылается на интерфейс WAN1, т.е. пакет в физическом смысле, уйдёт с WAN1. При этом адрес источника и порт источника подменяется на IP WAN1 и создаётся трансляция между LAN и WAN1. Т.е. Если на WAN придёт пакет, в котором порт назначения будет подмененный порт, то пакет отправится в LAN на изначальный адрес и порт.
Отсюда два вопроса. Правильно ли я понял всё это и какую смысловую нагрузку несёт поле Destination. Network, которое в данном случае all-nets.
Да, и пожалуй, может я что упустил?

Почти так.

Если пакет паправляется из интерфейса lan и сети lannet в интернет (а это согласно таблице маршрутизации) интерфейс WAN и на любой адресс (all-nets) на порт 80, то выполнить трансляцию сетевых адресов (NAT) и занести пакет в таблицу соединения.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Т.е. поле Destination. Network это ещё одно условие, при котором правило сработает. Т.е. если удалённый адрес IP пакета пришедшего на LAN, входит в группу адрессов обозначенных этим полем то правило срабатывает?