Для подключения банк-клиента через vpn сделал следующие два правила в ipfw:

pif - внешний интерфейс, правила находятся внутри nat.
local_IP - адрес win-машины в локалке,
server_IP - адрес сервера банк-клиента,

...
0020 divert natd ip from any to any in via $pif
...

0170 allow tcp from $local_IP to $server_IP 1723 out via $pif setup keep-state

0175 allow gre from $local_IP to $server_IP via $pif keep-state

Скажите, пожалуйста, правильно ли я сделал правила или можно более грамотно? Тестовое соединение vpn при данных правилах получается, но может быть, можно сами правила лучше составить, чтобы кто-нить не просканил лишний раз или еще что?