>[оверквотинг удален]
> Для "клиент" и "простой" примеры ниже должны быть настроены соответствующим образом.
>
> разумеется, если у вас не тривиальный случай, не типичный, а "атипичный )))"
> вам это не подойдёт, но как за основу вполне
> по поводу one_pass
> опять же обратимся к первоисточнику
> info ipfw | grep -A4 "net.inet.ip.fw.one_pass: 1"
>

"если установлено ... после выполнения действия, пакет повторно возвращается в брандмауэр 
> и обрабатывается последующим правилом"

> такие дела

     Да нет, у меня все типично, не типичны после винд шлюзов логика работы шлюзов на базе ipfw.
Например мне не привычно, что в большинстве примеров весь исходящий трафик по умолчанию открыт, я хотел
запретить все исход кроме исключений. Решить эту задачу помогает функция skipto которая позволяет "перепрыгнуть" разрешенным правилам через deny all from any to any. В виндовых шлюзах такой логики работы никогда не встречал, поэтому очень для меня не привычно. Опять таки заруливание в нат всего входящего трафика отдельным правилом, правило deny_in в свойствах нат, которое отрубает все входящие пакеты не имеющие записей в динамических таблицах. По поводу:
"если установлено ... после выполнения действия, пакет повторно возвращается в брандмауэр
и обрабатывается последующим правилом"
   Изучать ipfw начал по мануалам с лисяры форума бсд, там не было такой конкретизации, там было однозначно сказано, что при отключенной функции one_pass после прохождения NAT пакет снова возвращается в функцию (например ip_in) и пробегает по всей цепочке правил. Именно это у меня и вызвало непонимание того, каким образом пакет избежит попадания снова в правило заруливающее в NAT образовав таким образом петлю.С Вашим пояснением все логически становится ясно, что пакет продолжает идти по цепочке уже после этого правила. Но кстати на этом моменте вообще никто не акцентировал внимания, хотя я кучу "примеров и мануалов" просмотрел.

   Большое Вам спасибо, все таки как я понял, в бсд в отличие от вин многое приходится искать самому по манам, народ не очень охотно делится. Хотя за весь мой опыт работы с вин за более чем 10 лет, мне ни разу на форуме не смогли помочь ни с одной проблемой)).