Hi,
wenn der Client mit der NAT-IP des anderen Routers an der pfSense ankommt, dann nicht, dann könnte man lediglich die WAN-IP des anderen Routers sperren (womit auch alle dort verbundenen Clients gesperrt wären). Alternativ schaltet man NAT am besagten Router aus (sofern die Möglichkeit dazu besteht), legt bei der pfSense ein neues Gateway (WAN-IP des Routers) an und weist diesem Gateway dann das Netz des Routers zu (Route auf der pfSense anlegen). Somit erscheinen die Clients hinter dem Router auch mit ihrer originalen IP bei der pfSense und die pfSense ist in der Lage - aufgrund der angelegten Route samt Gateway - die Pakete auch entsprechend an dieses Netz weiterzuleiten.