как работает IPFW: http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=32

про нат тоже где-то была..
вкраце: у тебя есть шлюз на фре, у него 2 сетевых карты.
к 1 - rl0 - подключен кабель от провайдера, дающего инет
ко 2 - rl1 - подключен кабель, который уходит на свитч, в который воткнуты все компы твоей локальной сети
эти компы в локальной сети имеют заранее выделенные для них айпишники для внутренних сетей. таких айпишников в интернете быть не может. они могут использоваться только в локалках. их и используют все, кто админит офисы, компании и т.д.
к таким айпишникам относятся 10.?(не помню).x.x 192.168.x.x, 172.?.x.x вроде и вроде ещё какие-то.
ну так вот, поскольку "инет" не поймёт, если вдруг твоя локалка начнёт лазать там со своими 192.168.0.5 или 192.168.10.10 и т.д. (их просто пошлют на йюх без вариантов и будут правы), для этого существует NAT - Network Adresses Translation (переводчик сетевых адресов).
он занимается тем, что выдаёт айпишникам локалки тот айпишник, который висит на внешнем интерфейсе rl0 с реальным инетовским айпишником, выданным провом и, соответственно, наоборот.
комп васи пупкина из локалки знает, что все васины запросы следует слать на шлюз локалки, который ловит эти запросы на интерфейсе rl1. приходит на rl1 от 192.168.0.5, а уходит в инет с rl0 от <реальный IP выданный провом). когда пакеты для васи (это записано в пакетах "для кого) приходят обратно на rl0, NAT их обратно ретранслирует и они уползают по адресу 192.168.0.5

значение GATEWAY в опциях операционки собственно означает всего-лишь, что пакеты вообще-то надо иногда ещё и передавать с одной сетевухи на другую, а не тупо их забирать всегда себе

файрволл - стена между сетевухами и самой операционкой. если пакеты (трафик в инете на нижнем уровне делится по пакетам) не найдут ни 1 удовлетворяющего правила в настройках файрвола, кроме 65535 deny ip from any to any, то ОС никогда и не узнает, что был такой пакет..