>> Спасибо за ссылку, конечно, но это я уже делал и сам. Насколько
>> я понял, правило № 02200 лишнее. Удалил, работает, но всё равно
>> ругается, хотя и реже.
> если используется нат в режиме дени-инкомингс - то keep-state не нужен.
> keep-state нужен только для исходящих во вне, причем преимущественно "наружу". Потому что
> смысл его -создать динамическое  правило "в обратную сторону".

Тоже ломал голову, что за записи ... Потом остыл, так как работает.
Но вопрос остался.

Правила простые, NAT-а нет.

00100 check-state
00200 allow tcp from any to any established
00300 allow ip from any to any via lo0
00400 deny log ip from any to any not verrevpath in via em0
00500 deny tcp from table(5) to me dst-port 25
00600 allow tcp from table(3) to me dst-port 22 setup
01000 allow icmp from any to any
01100 allow tcp from table(3) to me dst-port 21 setup
01200 allow tcp from any to me dst-port 49152-65535 setup
01400 allow tcp from any to me dst-port 25 setup
01500 allow tcp from any to me dst-port 53 setup
01600 allow udp from any to me dst-port 53
01700 allow udp from 10.0.1.0/24 to me dst-port 161
01800 allow tcp from me to any setup
01900 allow udp from me to any keep-state
02000 deny tcp from any to me dst-port 135-139,445,4899,3389
02100 deny log tcp from any to me
65534 deny ip from any to any

Вчера убрал лишние keep-state. Но всеравно за ночь в лог "насыпалось" несколько сообщений.

Это firewall на отдельном хосте (не шлюзе).
На нем smtp, dns, snmp, ssh, ftp.