Pode pingar mas não consegue alcançar os clientes PFsense na bridge virtual

Eu tenho uma configuração com um hypervisor físico executando o KVM + Libvirtd no Fedora 22. Neste hipervisor, há uma VM PFsense e várias outras VMs interconectadas em uma ponte virtual. A VM do PFsense também é conectada com o adaptador físico. É o único dispositivo que se conecta à rede externa. Pretendo conectar essa configuração diretamente a um uplink de fibra em um IP da WAN e encaminhar as portas para as VMs por meio da VM do PFsense. A equipe técnica também se conectará à caixa PFsense sobre o OpenVPN para alcançar a rede interna.

No entanto, em um ambiente de teste, não consigo acessar as máquinas encaminhadas pela caixa PFsense no IP externo. Eu tentei de tudo e gastei mais de 6 horas, e não tenho certeza do que está dando errado.

Aqui estão as regras de firewall, 10.42.0.0 é a bridge / LAN, 10.43.0.0 é VPN. O WAN_XS4ALLFTTH é o PPPOE da fibra, o WAN_NOVLAN é um ambiente de testes:

Eu posso pingar de 10.43.x.x para 10.42.x.x mas não alcanço nenhum serviço. Eu posso fazer ping na interface WAN_NOVLAN externa, mas não alcançar nenhum serviço nela. Alguém sabe o que estou fazendo errado?

Se necessário, posso postar as regras NAT, mas você deve ser capaz de adivinhá-las a partir das regras do firewall com a descrição 'NAT' (gerada automaticamente).