Pergunta antiga, mas pode muito bem responder ...
A regra 'match' reescreve o endereço para $ extif .... ver o problema ainda?
O seguinte passo não leva isso em conta e ... pacote no chão ... bem / dev / null ou
Eu recomendaria adicionar uma 'tag ALLOWED' ao final da regra 'match' e alterar a regra de aprovação:
pass out quick on $extif tagged ALLOWED