Per firewall e "port forwarding" effettivamente l'ubiquiti ha una gestione un po' strana..
Dalla tab "Firewall/NAT" devi prima abilitare il "Port forwarding" verso l'IP di destinazione.
Puoi creare l'associazione statica MAC/IP nella schermata del DHCP che hai postato prima per accertarti che il PC ottenga sempre lo stesso IP oppure usare una configurazione statica sul computer.
La configurazione di un forwarding non è nulla di strano quindi non penso ci sia nulla da spiegare.
E' poi necessario passare alla configurazione del firewall che è una parte abbastanza ostica.
ubiquiti prevede la possibilità di gestire il firewall per "ruleset" o per "zone". La gestione per zone, a quanto ricordo può essere fatta solo da cli mentre la gestione per "ruleset" è quella proposta dalla GUI web.
La "ruleset" è un insieme di regole che si applicano ad una o più "interfacce" del router: La stessa interfaccia non può fare parte di più ruleset, per questo ti ho detto di fare prima il plan per avere molto chiara la topografia delle rete che stai andando a configurare.
Immagina sempre una ruleset come una tavola di "Forza 4", quel gioco da tavolo in cui veniva inserito un gettone colorato in una colonna e cadeva verso il basso: La ruleset è la colonna in cui vai a inserire in gettone e le varie righe rappresentano le regole che ci inserisci nella ruleset. Il "gettone" è il pacchetto di rete ed il punto di vista da considerare per valutare se la direzione è "IN", "OUT" o "LOCAL" è sempre il punto di vista che guarda dal router VERSO l'interfaccia.
Mi permetto di linkarti il post esatto relativo alla configurazione del firewall per la mia installazione.
IN -> Traffico in ingresso nel router da una interfaccia (e che successivamente uscirà da un'altra, non destinato al router stesso)
OUT -> Traffico che esce dal router attraverso un'interfaccia (e che era precedentemente entrato da un'altra, non generato dal router stesso)
LOCAL -> Traffico in ingresso nel router ma destinato al router stesso.
La ruleset prevede una azione predefinita per il pacchetto che non dovesse trovare match con nessuna regola: Quindi quando vai a creare una nuova ruleset la "Default action" che è ti chiede è quella che sarà applicata al pacchetto nel caso non dovesse trovare match con nessuna regola. Tipicamente la regola migliore è quella di applicare come "default action" un "Drop" (preferibilmente) o un "Deny": In questo modo, il traffico che non dovesse essere stato autorizzato viene scartato, diciamo che è la configurazione più sicura anche se non sempre è possibile. "Drop" o "Deny" dipende: Il "Drop" è meno impegnativo per il router perchè non prevede che chi ha originato il traffico non autorizzato venga avvisato, il pacchetto viene scartato e basta. Con un "Deny" invece il tuo router avvisa chi ha inviato il pacchetto che questo è stato scartato. Un "fair play" che comunque genera traffico sulla rete e che può essere sfruttato a un attaccante per un DDOS quindi generalmente si preferisce droppare il traffico.