В общем, разобрался. Нужно было создать ещё несколько правил в Access Control

Распишу инфу, может кому интересно будет.

Делаем проброс порта в Transmission -> Virtual Server: выбирается WAN, внешний порт, который будет слушать снаружи, внутренний порт (слушается уже на внутреннем сервере), IP внутреннего сервера и протокол (TCP, UDP или оба):

 

Делаем группу из нужных доверенных внешних адресов в Preferences -> IP Group: сначала в закладке IP Address добавляем нужные нам внешние IP, а потом в закладке IP Group делаем группу "trusted_ip" из наших нескольких внешних IP адресов:

 

Дальше, для того, чтобы реально заблокировать всё и везде в самом конце Access Control List должно быть два блокирующих правила с разницей только в одном параметре: "Destination". В первом случае должно быть "Me", во втором: "IPGROUP_ANY":

Только нужно отдавать себе отчет, что прежде чем создавать эти запрещающие правила, необходимо в Firewall -> Access Control прописать разрешающее правило для управления маршрутизатором через web-интерфейс! И одно должно стоять первым в Access Control List!! Иначе потеряете доступ к управлению через web!

 

Далее, в Preferences -> Service Type нужно создать порт, который слушается на вашем внутреннем сервере, куда в итоге должны попасть. В моем случае всё стандартно: порт RDP 3389.

 

И последний шаг: создаем в Firewall -> Access Control правило, где указываем Policy: Allow, Service Type: наш порт RDP 3389, созданный выше; Source: выбираем группу "trusted_ip", созданную ранее; Destination: IPGROUP_LAN, Effective Time: Any:

 

Теперь снаружи по RDP на наш внутренний сервер смогут попасть только с тех внешних IP адресов/подсетей, которые мы указали в самом начале.

И не забываем, что это разрешающее правило должно стоять выше (!) чем оба запрещающие правила!!