concordo com o que voce disse sobre a primeira regra
sobre a segunda regra, ela serve sim, pq a transferencia de zonas é feita atraves do protocolo TCP se nao me engano.
e a terceira regra só pode ser feita dessa forma pelo que eu saiba. (mas é claro que voce pode adicionar origem/destino/interface)
[]'s