CentOS (com firewalld) - Encaminhar transmissão de udp (netbios)

Estou tentando implementar uma pequena infraestrutura de laboratório com o VSphere com várias LANs, 2 das LANs são:

• Trabalho: com laptops de funcionários
• Confiável: com todo o meu servidor (exceto a web que está em uma DMZ separada)

Entre essas LANs, eu tenho um host CentOS com vários adaptadores de rede que é usado como um firewall interno e que está roteando todo o tráfego entre as LANs.

Na LAN confiável, tenho um controlador de domínio do Windows com um domínio chamado "domain.testing" e tento conectar-me a ele de um computador cliente na LAN de trabalho. Toda vez que tento me conectar ao Controlador de Domínio, posso ver no host CentOS (com tcpdump) que o cliente está enviando uma transmissão UDP NetBios na porta 137 e, mesmo se eu desabilitar o firewalld (que é usado para o firewall), transmissão não é encaminhada da LAN de trabalho para a rede local confiável. No lado do controlador de domínio, não consigo ver nenhuma transmissão do host do cliente.

Eu vi na Internet que eu deveria ativar a transmissão dirigida pela rede, mas não consigo encontrar como fazer isso com o CentOS.

Veja um pequeno desenho dessa infraestrutura:

|Client| ------------(ens192) |CentOS| (ens160)------------- |Domain Controller|
10.2.0.2             10.2.0.1          10.3.0.1                  10.3.0.4      

Aqui estão as regras do firewalld:

# firewall-cmd --zone=trusted --list-all
trusted (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: dns http https kerberos ldap ldaps mdns rpc-bind samba-client samba
  ports: 514/tcp 6514/tcp
  protocols:
  masquerade: yes
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

# firewall-cmd --zone=work --list-all
work (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources:
  services: dns http https kerberos ldap ldaps mdns rpc-bind samba samba-client
  ports:
  protocols:
  masquerade: yes
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

Aqui está o roteamento no CentOS:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.2.0.0        0.0.0.0         255.255.255.0   U     0      0        0 ens192
10.3.0.0        0.0.0.0         255.255.255.0   U     0      0        0 ens160

E aqui está a saída do tcpdump depois que eu tentei adicionar o domínio ao host do cliente:

# tcpdump -i ens192 -nn
15:35:31.018000 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15:35:31.755710 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15:35:32.505686 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST