на хабре есть запись
FRM:verwolfdotss
"к сожалению у pf есть проблемы с роутингом множественных подключений через GRE за нат!"
и далее некто
parta пишет
"почему восклицательный знак? проблемы не только с gre, но и с ftp, и c h323, и т.д.дело в том что это пакетный фильтр и с задачей фильтрации пакетов он справляется замечательно. nat'ы не основное для чего он нужен. я приверженец мнения «nat не нужен».
проблема с gre такова, что с несколько туннелей в один ойпи не пролазят. резонный вопрос, а зачем несколько туннелей в один ойпи? вобщем тут палка о двух концах. можно долго ныть о том какой плохой pf, а можно посмотреть в зеркало и попробовать таке повзрослеть… :\"
Вопрос! все же лучше тогда ффтыкать (учить) IPFW+inetd или все же pf умеет через pfctl нормально делать NAT??