>помогите решить такой вопрос. Есть роутер(free bsd 5.1), на одно сетевухе висит
>локалка, на другой ADSL роутер в инет. Для того чтобы клиенты
>могли ходить в инет поднят natd.
>Дык вот, для ipfw есть следующие правила:
>#!/bin/sh ipfw='/sbin/ipfw -q'
>localnet='192.168.0.0/24'
>ifin='rl0'
>ifout='rl1'(ip=1.2.3.4)
>
>${ipfw} flush
>${ipfw} add 100 check-state
>
>${ipfw} add 300 allow ip from any to any via lo
>${ipfw} add 310 allow ip from me to any keep-state out via
>${ifout} ${ipfw} add 320 allow ip from me to any
>${ipfw} add 330 allow icmp from me to any
>
>${ipfw} add 400 allow tcp from any to me http,ssh
>
>${ipfw} add 600 divert natd ip from ${localnet} to any out via
>${ifout} ${ipfw} add 610 divert natd ip from any to 1.2.3.4
>
>
>${ipfw} add 700 allow ip from ${localnet} to me in via ${ifin}
>
>
>Но почему-то с клиента, при добавлении этого шлюза(192.168.0.1) пинговался только сам локальный
>ип шлюза и ип внешнего интерфейса,пока я не добавил в конце
>allow ip from any to any.
>В чем тут проблема, может внешний и внутренний интерфейсы не могут пакеты
>друг другу пересылать?

Пакет из локалки попадает сначала в ipfw, а уже навыходе - в natd.
Если ipfw пакет непропустил, в natd он и непопал....