Здравствуйте.
Кусок конфига ipfw.conf. Вопрос касательно правила 240: входящий icmp (ping) на внешней сетевухе.

#$cmd 199 check-state

$cmd 200 allow ip from $lan to $int_if in via em1 $ks
$cmd 210 allow ip from $int_if to $lan out via em1 $ks

#$cmd 220 allow tcp from me to any out via em0
#$cmd 221 allow udp from me to any out via em0 $ks
#$cmd 223 allow icmp from me to any out via em0 $ks

$cmd 230 allow tcp from any to me 22 via em0 setup $ks
$cmd 240 allow icmp from any to me icmptypes 3,4,8,11 in via em0 $ks
#$cmd 250 deny icmp from me to any out via em0

ipfw nat 1 config if em0 log deny_in same_ports
$cmd 320 nat 1 ip from $lan to not me out xmit em0
$cmd 330 nat 1 ip from any to $ext_if in recv em0

$cmd 340 allow ip from any to any

$cmd 65534 deny all from any to any

Если запретить все исходящее с внешней сетевухи от самого сервера, а в правиле 240 убрать keep state, то по-идее эхо-ответа не должно быть, но он есть, сервер "из мира" пингуется, т.к. страбатывает правило 340. Проблему решает правило 250. С протоколом ТСР такого нет. Без явно разрешенного исходящего правила или keep state, соединения по ssh, например,  нет, т.к. нет ответов от сервера.
Проясните ситуацию, пожалуйста.