V první řadě se oprosti od názoru, že NAT je součást firewallu. Není. Vytluč si to z hlavy, zapomeň.
Teprve potom se zabývej nějakým zabezpečením. Pravidla budou obecně řečeno minimálně dvoje - komunikace z internetu a komunikace z intranetu. Plus případné třetí pro komunikaci NASu ven (ať už do internetu, do lan, nebo do obou).
Maškarádu (srcnat) je jen jedna - směrem do internetu.
DSTNAT je také jen jeden - směrem z internetu.
Mezi DMZ a LAN nic takového nepatří. To je prostě routing.
A v případě, že bych se rozhodl to do DMZ přesunout, tak v Mikrotiku ve firewallu by pak asi museli být celkem 3 typy pravidel (pokud to správně chápu) - jedna sada by upravovala provoz mezi DMZ a internetem, další mezi interním subnetem a internetem a třetí mezi stejným subnetem a DMZ. Nebo je to jinak? Jak by to pak (principielně) mělo vypadat? První typ by se asi řešil DSTNATem a povolením daného portu ve firewallu (zákaz všech ostatních), druhý typ by byla asi klasická maškaráda s povolením všeho pouze zevnitř a jak by měl vypadat třetí netuším.
Ale abych pravdu řekl ... udělej si DST nat na web porty toho NAS, povol to na forwardu routeru a zbytek zablokuj dropem. Budeš to mít jednodušší. Holt bude na internetu celé webové rozhraní NASu.