Может пинговать, но не может связаться с клиентами PFsense по виртуальному мосту

У меня есть установка с физическим гипервизором, на котором запущена KVM + Libvirtd в Fedora 22. На этом гипервизоре есть виртуальная машина PFsense и несколько других виртуальных машин, соединенных между собой виртуальным мостом. Виртуальная машина PFsense также соединена с физическим адаптером. Это единственное устройство, которое подключается к внешней сети. Я намерен подключить эту настройку напрямую к волоконно-оптической линии вверх по IP-адресу WAN и перенаправить порты для виртуальных машин через виртуальную машину PFsense. Технический персонал также подключится к устройству PFsense через OpenVPN для доступа к внутренней сети.

Однако в среде тестирования я не могу получить доступ к машинам, перенаправленным через окно PFsense на внешний IP. Я перепробовал все и потратил на это 6 с лишним часов, и я не уверен, что происходит не так.

Вот правила брандмауэра, 10.42.0.0 - это мост /LAN, 10.43.0.0 - это VPN. WAN_XS4ALLFTTH - это PPPOE волокна, а WAN_NOVLAN - среда тестирования:

Я могу пропинговать с 10.43.xx до 10.42.xx, но не могу связаться ни с какими сервисами. Я могу пропинговать внешний интерфейс WAN_NOVLAN, но не могу подключиться к нему. Кто-нибудь знает, что я делаю не так?

При необходимости я могу опубликовать правила NAT, но вы сможете угадать их по правилам брандмауэра с описанием "NAT" (сгенерировано автоматически).