我有一个Juniper SRX240H2 (JUNOS 12.1X44-D20.3) 防火墙集群，处于流模式，接口reth2.1面向 Internet，接口reth1.1面向 LAN。我有一个特定的源和目标 IP 对的问题。源通过 Internet 将 TCP SYN 数据包发送到位于 NAT 后面的目的地，NAT 转换正常，局域网中的目的地将到达该数据包。但是，reply(TCP SYN+ACK) 将在防火墙中被丢弃，因为没有找到以前的流：

Apr  8 15:08:04 15:08:07.821685:CID-1:RT:  reth1.1:10.70.50.201/515->104.236.80.115/1021, tcp, flag 12 syn ack
Apr  8 15:08:04 15:08:07.821685:CID-1:RT: find flow: table 0x5115c900, hash 880(0xffff), sa 10.70.50.201, da 104.236.80.115, sp 515, dp 1021, proto 6, tok 9
Apr  8 15:08:04 15:08:07.821685:CID-1:RT:  no session found, start first path. in_tunnel - 0x0, from_cp_flag - 0
Apr  8 15:08:04 15:08:07.821685:CID-1:RT:  packet dropped, first pak not sync
Apr  8 15:08:04 15:08:07.821685:CID-1:RT:  flow find session returns error.
Apr  8 15:08:04 15:08:07.821685:CID-1:RT: ----- flow_process_pkt rc 0x7 (fp rc -1)

LAN 中防火墙和目标之间的延迟约为 20 毫秒，因此不应是因为流超时。TCP SYN 检查在 SRX 中如何工作？它是否期望 TCP SYN+ACK 使用与初始 TCP SYN 来自的相同出口接口？