Seu roteador está fazendo exatamente o que você disse: roteando o tráfego RDP proveniente da Internet para o seu computador habilitado para RDP. Sem isso, as tentativas de se conectar a esse computador pela Internet falhariam. As conexões de um computador da LAN para outro não são afetadas pelo encaminhamento que você configurou no seu roteador. Você precisa do encaminhamento ao conectar-se a partir da Internet, porque sua rede se parece com um único endereço IP de fora do roteador; Como o seu roteador não é um servidor RDP, as tentativas de conexão são ignoradas. Com o encaminhamento ativado, as conexões de fora do roteador podem ser encaminhadas para um computador que possa utilizá-las, ou seja, seu computador habilitado para RDP. O encaminhamento não é necessário para conexões entre computadores da LAN porque, na LAN, todos os computadores têm números IP distintos. Isso não muda quando você configura o encaminhamento; seus computadores da LAN ainda são acessíveis pelo seu IP como antes. A porta 3389 não está bloqueada quando você a encaminha.