pfSense est un firewall SPI, c'est à dire Statefull Packet Inspection, ce qui signifie, pour faire court, que pfSense va maintenir une table des connexions en cours.
Si une règle à autorisé un flux de, par exemple, LAN vers internet, les packets qui vont revenir via l'interface WAN vont être automatiquement acceptés.
La flèche devant l'interface indique le sens du flux (in/out). tu peux lire le log en mode "raw" pour avoir plus de détail
https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2
Je ne sais pas comment tu imagines l'approche du debug mais à ta place, je regarderai en priorité cette histoire de TCP:SA qui dénote un problème autre que des règles de FW.
Pourquoi aurais-tu, sur l'interface LAN_LAB1_SRV un flux entrant en provenant de 10.10.3.0/24 ?
C'est, à mon avis, mais tu donnes peu d’information sur comment est construit ton réseau (à grand coup de VM, ça n'aide pas, je suis d'accord :)) la source de la plupart de tes problèmes.
C'est ton point 2 (de ta deuxième série de question) et le souci n'est pas, à mon avis, coté pfSense mais coté VM. ou alors il y a un typo quelque part.