¡Hola!
Perdona por el comentario sobre las reglas en LAN en lugar de en WAN. Había mirado mal las imágenes y creía que las estabas poniendo en WAN …
snort sólo te podrá analizar el tráfico de una de las interfases de pfSense, a no ser que en lado LAN tengas un hub en lugar de un switch. Las bocas de los switches actuales sólo ven lo que va destinado a su IP y los broadcast de su subred. No ven el tráfico del resto de bocas, a menos que tengan lo que se llama port mirroring. Un hub sí ve en todas las bocas el tráfico. De ahí la diferencia de velocidad; el switch es más inteligente …
Podrías probar a jugar con las IPs y las máscaras para que las máquinas no se vieran entre sí pero vieran todas la LAN de pfSense como puerta de enlace. Hace unos meses hubo un post de alguien que hacía rebotar los paquetes en la LAN de pfSense para llevar el tráfico hacia diferentes routers colocados en la LAN que enlazaban con otras partes de su instalación.
Saludos,
Josep Pujadas