Мало опыта в создании firewall'ов. Есть 2 интерфейса tun0 (213.242.40.227), rl0 (192.168.25.240). Поднят nat с параметрами -s -m -u -n tun0. Нужно сделать так, чтобы пакеты внутри подсети rl0 проходили без natd. А вот если конечный пункт не в подсети rl0, то divertить. Написал что-то типа:
allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
allow all from 192.168.25.0/24 to 192.168.25.0/24 ;192.168.25.0 это подсеть карты rl0
divert 8668 ip from any to any
allow tcp from 192.168.25.0/24 to 213.242.40.227 3128
allow udp from 192.168.25.0/24 to 213.242.40.227 3128
...
allow ip from 213.242.40.227 to any
allow ip from any to 213.242.40.227
deny ip from any to any
Но пакеты наружу не идут :( Почему? Что нужно исправить.