>ipfw add allow tcp from host1 to host2 3128 MAC any 00:34:e2:4d:fe:21 >Может кто знает как правильно?

1) Ты установил ipfw2 (как, есть в поиске www.opennet.ru)
2) net.link.ether.ipfw=1
3)  
ipfw add skipto 5000 all from any to any not layer2
. /etc/rc.firewall.deny-by-mac
# Разрешаем 1-ой сетке ходить без проверки мак адреса.
ipfw a 4100 allow ip from 10.128.1.0/24 to any in recv $LOCAL_IF
# Разрешаем всем ходить к этому маршрутизатору
ipfw a 4250 allow ip from 10.128.0.0/16 to me in recv $LOCAL_IF
# Запрещаем все остальные попытки из фильтруемой сети
ipfw a 4300 deny log ip from 10.128.0.0/16 to any in recv $LOCAL_IF
# разрешаем остальные пакеты (можно ужесточить)
ipfw a 4400 allow ip from any to any
ipfw a 5000 "Нормальные" (т.е. не ethernet) правила firewall

/etc/rc.firewall.deny-by-mac
Разрешаем ходить с 10.128.11.2 и мака 00:02:b3:1a:62:a5
ipfw a 201 allow all from 10.128.11.2 to any mac any 00:02:b3:1a:62:a5 in recv $LOCAL_IF
ipfw a 202 allow all from 10.128.11.3 to any mac any 00:02:b3:61:3d:50 in recv $LOCAL_IF