NAT - Firewall Rule

[vpnuser]

Hallo,
ich habe eine Frage bzgl. der Firewall Rule für eine NAT. Ich habe für meinen Internet-Server im LAN einen NAT für Port 443 angelegt. Dazu eine WAN-Firewall Pass Rule für den Port. Funktioniert ohne Probleme. Nun habe ich eine Floating Rule zum Blockieren des gesamten ausgehenden Verkehrs generiert. Damit werden auch die Antwort-Pakete auf den Aufruf einer Webseite, welche durch die WAN/NAT 443 Regel zugelassen/weitergeleitet werden, blockiert. D.h. ich muss eine ausgehende Pass-Regel für Port 443 anlegen – kein Problem. Nun meine Frage: kann ich dies einfacher gestalten. Mit den Optionen ,,Reflection ..." im Bereich ,,Firewall -> Settings -> Advanced" (https://docs.opnsense.org/manual/firewall_settings.html#network-address-translation könnte ich entsprechende ausgehende Regeln automatisch anlegen lassen – soweit ich das verstanden habe. Allerdings wird in der OPNSense davor gewarnt. Wie macht Ihr das?
Und eine weitere Frage: wenn eine ausgehende Pass-Regel für Port 443 erstellt wird, dann kann natürlich auch von dem Webserver/LAN-Computer im Internet gesurft werden. Kann ich dies verhindern – also nur ausgehende 443 Pakete zulassen, welche zuvor durch eine eingehende 443 WAN-Regel durchgelassen wurden?

[lfirewall1243]

Erstmal bitte einen Netzwerkplan.

Gerade als Anfänger würde ich die Finger von den Floating Rules lassen, es wird am Ende nur unübersichtlich.