Irritating portscanner...

Fobe, as both Barry and Bruce told you above, the 'Traffic destination' in the traffic selector portion of the DNAT must be "External (Address)" instead of "Any."  For the reason for that and a discussion of the INPUT and FORWARD chains, see: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39358/134494#134494

Cheers - Bob
PS If you log the packet filter rule above, I think you'll find that you have the same experience I did.

Fobe, as both Barry and Bruce told you above, the 'Traffic destination' in the traffic selector portion of the DNAT must be "External (Address)" instead of "Any."  For the reason for that and a discussion of the INPUT and FORWARD chains, see: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39358/134494#134494

Cheers - Bob
PS If you log the packet filter rule above, I think you'll find that you have the same experience I did.

I took your advice. Unfortunately it doesn't work. I still get portscan detections from that dude from China!
I have 2 WAN-connections I made DNAT-settings for both WAN-interfaces and 1 PF-rule. What I'm doing wrong?
It is now set as follows:

PF Rule:
Source : IP(s) to be dropped
Service : ANY
Destination: ANY
Action : DROP

1st DNAT Rule:

Traffic Source : IP(s) to be dropped
Traffic Service : ANY
Traffic Destination: WAN-1
NAT Mode : DNAT
Destionation : IP of a not existing host on LAN

2nd DNAT Rule:

Traffic Source : IP(s) to be dropped
Traffic Service : ANY
Traffic Destination: WAN-2
NAT Mode : DNAT
Destionation : IP of a not existing host on LAN