>и не только allow,
>man ipfw
>
>allow | accept | pass | permit
>Allow packets that match rule.  The search terminates.
>
>хм... это совсем всем двойка?
>вот все что Вы имели честь писать это о ipfw вообще или
>применительно лишь к нашем случаю, а то я тоже щас как
>начну придераться... к запятым =)
>а как объяснити ниже следущее?
>у меня до divert стоит
>allow ip from 192.168.0.0/16 to me
>allow ip from me to 192.168.0.0/16
>тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это
>правило? ДА! так перебор правил как я понял с ваших слов
>и "man ipfw" прекращается после прохождения allow, Ура! но далее идут
>правила:
>divert 8668 ip from any to any out via ed0
>divert 8668 ip from any to any in via ed0
>
>первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще
>NАТ), а второе проделывает обратное "превращение"
>внимание вопрос! что должен divert'ить divert если пакет попал под правило  
>allow из ваших рассуждений получается что тут ни чего уже больше
>не происходит и не работает... приплыли... СТОП! а ведь работает! вы
>сударь наверное теоретик, а статейки у вас не плохие! :)
>Удачи!
Ты сам понял что написал?
Во-первых что скрывается под me?
Во-вторых какие у тебя интерфейсы и для чего?
В-третьих что чем маскируется в НАТе?
В-четвертых в sysctl глянь значение вышеупомянутой переменной.
А теперь эмпирическая модель:
есть три интерфейса на одном сеть 192.168.0.0/16, на втором 10.0.0.0/8,
на третьем ed0 чего-то реальное, вся 10-я сетка дивертится в НАТ, теперь что такое me? это может быть какой-нибудь левый адресок напр 1.1.1.1 и тогда вся 192.168 тоже в НАТ. Это так набросочек, вариантов как понимает All масса.