Acho que acabei de descobrir: o pré-encaminhamento aparentemente acontece antes que as regras reais de aceitação / descarte sejam atingidas. Portanto, a solicitação é redirecionada de 443 para 8443 e as regras são aplicadas apenas ao tráfego redirecionado. Portanto, não preciso abrir a porta 443 com uma regra de aceitação. O redirecionamento parece "abrir" de qualquer maneira. Portanto, a primeira regra (aceitar 443) pode ser omitida.