Почему pfSense блокирует многоадресный трафик, когда он явно включен?

У меня есть пара брандмауэров / маршрутизаторов pfSense, настроенных в кластере CARP / XML Config. Со стороны локальной сети коммутатор также имеет пару серверов, на которых работает corosync / pacemaker / drbd. Они находятся в другой IP-сети, но по-прежнему генерируют многоадресные пакеты.

Да хоть убей, я не могу заставить pfSense разрешать пакеты. Я попытался использовать кнопку простого правила, но это не удалось. Я также добавил правило, которое разрешает все порты, все адреса с местом назначения многоадресного адреса, и включил «allowopts» и «nostate»; все без толку. Трафик по-прежнему останавливается правилом по умолчанию. Есть идеи, что я делаю неправильно?

Вот снимок правил (и да, они перезагружались несколько раз:

Я также пробовал «без состояния». Правило под заголовком называется Easy-Rule, и оно выбирает адрес 239 как для источника, так и для пункта назначения; порт src - *, порт назначения - 5405.

Вот журнал, показывающий отклонение правилом по умолчанию:

Стоит отметить, что изначально было показано, что правило очистки также блокирует, поэтому я отключил очистку фрагментов пакета.