... ну или очередные грабли - это уж кому как . Как запрячь в одну упряжку осла и трепетную лань совместить в одном ipfw'шном ruleset'е stateful filtering и kernel nat написано в handbook'e. Чего там _не_ написано (Не удивлюсь, если оный sysctl появился уже _после_ выхода статьи, а "поправить" ни у кого руки не дошли) - sysctl net.inet.ip.fw.one_pass надо ставить в нуль, иначе работать пример не будет. Внимание, вопрос! Можно ли нафантазировать stateful ruleset с one_pass=1 и nat?
Ответ Можно. Для этого можно воспользоваться тем фактом, что пакет проходит по правилам не один раз, а минимум два - сталбыть, на выходе в интернет можно воткнуть нат, на на локальном интерфейсе - собственно stateful rules. Вот только делать это, пожалуй, не стоит, ибо на то, чтобы впихнуть в эту конфигурацию, скажем, еще и трафик-шейпер проходов уже не хватит .