¡Hola!
Para salir hacia afuera tienes que decir en [Firewall][Rules][LAN] que admites el tráfico hacia una de tus gateways. El ejemplo más sencillo sería:
Proto Source Port Destination Port Gateway Description
* * * * * 192.168.AAA.1 Admitir cualquier salida hacia el router 192.168.AAA.1 (en la red WAN)
En el caso de balanceo y/o failover, tu "pool" se convierte en el gateway. Lo tienes todo en:
http://doc.pfsense.org/index.php/Multi-Wan/Load-Balancing
Las reglas en tus WAN serían para lo que llegue de fuera. Si no tienes servicios (a dar en Internet) no te hacen falta reglas en las WAN. Si das un servicio (en Internet) tendrás que hacer un NAT hacia adentro y entonces pfSense te crea automáticamente la regla en la WAN para permitir el tráfico de tu NATeo.
Sobre el NAT hacia afuera tienes la explicación en:
http://doc.m0n0.ch/handbook/nat-outbound.html (manual de m0n0wall, de donde partió PfSense)
Y como pfSense emplea PF (Packed Filter), la explicación en el manual de PF es:
http://www.openbsd.org/faq/pf/es/nat.html
O sea que teóricamente no hace falta, pero es una forma más de "esconder" tu LAN … Yo lo prefiero así ...
También hay otras formas de montar el "tinglado". Hay quien pone los routers ADSL en modo bridge y la dirección pública de la ADSL en la WAN correspondiente. Incluso hay países donde la conexión a Internet es directa sobre la interfase WAN de pfSense. En estos casos se impone el NATeo hacia afuera ...
Saludos,
Josep Pujadas