¡Hola!
Pienso que lo estás haciendo al revés (el NAT no tienes que definirlo para la DMZ) …
Si tienes el servidor web en la DMZ, el "NAT Port Forward" debes hacerlo en la WAN y en la WLAN hacia la DMZ. Esto deberá crearte automáticamente unas reglas de cortafuegos para tu "NAT Port Forward" en la WAN y en la DMZ.
El NAT lo debes hacer para los puertos TCP 80 (HTTP) y TCP 443 (HTTPS).
Puedes verlo en http://www.bellera.cat/josep/pfsense/indice.html secciones [NAT] y [Reglas]
Piensa en el cortafuegos como una casa que tiene varias puertas de entrada. Haciendo NAT y reglas das una llave para entrar a la casa. Para salir de la casa no hace falta ninguna llave. Por tanto, es en tu WAN y WLAN dónde debes dar los permisos para entrar.
Saludos,
Josep Pujadas