>Все правила ipfw обрабатываются дважды - на входе пакета и на выходе. Если ты используешь divert ->в natd для маскарадинга, то на divert работает только на внешнем интерфейсе, а на внутреннем и происходит shaping (но его надо ставить до allow, а то allow прерывает просмотр правил).
и не только allow,
man ipfw

allow | accept | pass | permit
Allow packets that match rule.  The search terminates.

хм... это совсем всем двойка?
вот все что Вы имели честь писать это о ipfw вообще или применительно лишь к нашем случаю, а то я тоже щас как начну придераться... к запятым =)
а как объяснити ниже следущее?
у меня до divert стоит
allow ip from 192.168.0.0/16 to me
allow ip from me to 192.168.0.0/16
тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это правило? ДА! так перебор правил как я понял с ваших слов и "man ipfw" прекращается после прохождения allow, Ура! но далее идут правила:
divert 8668 ip from any to any out via ed0
divert 8668 ip from any to any in via ed0

первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще NАТ), а второе проделывает обратное "превращение"
внимание вопрос! что должен divert'ить divert если пакет попал под правило  allow из ваших рассуждений получается что тут ни чего уже больше не происходит и не работает... приплыли... СТОП! а ведь работает! вы сударь наверное теоретик, а статейки у вас не плохие! :)
Удачи!