А руководство то в лом почитать?

3.5.3. IP Rule Actions
...
Allow The packet is allowed to pass. As the rule is applied to only the opening of a
connection, an entry in the "state table" is made to record that a connection is open.
The remaining packets related to this connection will pass through the NetDefendOS
"stateful engine".

FwdFast Let the packet pass through the NetDefend Firewall without setting up a state for it in
the state table. This means that the stateful inspection process is bypassed and is
therefore less secure than Allow or NAT rules. Packet processing time is also slower
than Allow rules since every packet is checked against the entire rule set.

NAT This functions like an Allow rule, but with dynamic address translation (NAT) enabled
(see Section 7.2, “NAT” in Chapter 7, Address Translation for a detailed description).
...

если после этого у ас возникнут вопросы задавайте.

какой dfl ? и какая прошивка ?

и почему у вас lan1 и lan 2 по идеи в дефолте они должны быть в одной подсети . даже если это новая линейка DFL

1660 - 2.27.03

lan1 192.168.10.0/24
lan2 10.10.0.0/16


а если мне нужно "общение" между lan1 и dmz (172.17.100.0/16) - внешний мир (он у меня на ванах) не затрагивается, так? так! тогда что allow или nat ???

если вам надо свободное продвижение пакета то ALLOW если шифроватся то nat .
ваш выбор стоит от задачи

Allow - обычно (но не обязательно) движение пакетов в обе стороны между сетями "одного типа": из белой в белую (lan - wan, wan-wan) из серой в серую (lan - lan), там где все маршрутизаторы по пути следования знают куда маршрутизировать пакеты.

NAT - обычно (но не обязательно) - выход из серой сети в белую. типичные случаи выхода в инет нескольких компов с одного белого IP. Или в случаях, когда одну сеть следует защитить от другой и/или обеспечить односторонний доступ

lan2 <-> Lan3 - обычно allow в обе стороны

lan -> wan - NAT в одну сторону.

Это грубо, в общем, без деталей.