Permitir que pfSense se dirija de WAN a LAN

Tengo una instancia de pfSense con dos interfaces de networking configuradas entre una LAN y WAN:

192.168.1.0/24 (WAN) <-> (192.168.1.100) pfSense (10.0.1.100) <-> 10.0.1.1/24(LAN) 

Por simplicidad, he permitido todo el tráfico en las reglas de filtrado.

Esto funciona bien y una máquina en la LAN con pfSense (10.0.1.100) como la puerta de enlace puede conectarse a los hosts en la WAN:

 <10.0.1.5> $ ping 192.168.1.10 64 bytes from 192.168.1.10: icmp_seq=0 ttl=51 time=11.753 ms 

Sin embargo, una máquina en la WAN con pfSense (ahora 192.168.1.100) como puerta de enlace no puede conectarse a hosts en la LAN:

 <192.168.1.10> $ ping 10.0.1.5 *timeout* 

Las reglas de cortafuegos permiten todo el tráfico en ambas direcciones.

tcpdump muestra que los packages llegan a la interfaz WAN correctamente pero nunca se envían en la interfaz LAN.

¿Existe una function de pfSense que prohíbe el routing de WAN a LAN? Qué debe hacerse para permitir que las máquinas en WAN se dirijan a la LAN.

Soy consciente de las implicaciones de security. Este es un ejemplo simplificado.

NAT es su problema. A less que esté usando un NAT uno-a-uno, va a necesitar originar tráfico de un solo lado. Incluso con uno-a-uno NAT, tendrá que hacer ping desde el exterior con la dirección traducida.