Есть локальная сеть за натом (freebsd 4.9;natd;ipfw) и есть клиенты внешние.
Необходимо разрешить некоторым локальным пользователям ходить только на внешние ip адреса клиентов, в инет же им ходить запрещено.

делаю так:
oif - внешний интерфейс
iif - внутренний

....
setup_loopback

        # Stop spoofing
        ${fwcmd} add deny log all from ${локальная сеть} to any in via ${oif}
        ${fwcmd} add deny log all from ${внешняя сеть} to any in via ${iif}

        case ${natd_enable} in
        [Yy][Ee][Ss])
            if [ -n "${natd_interface}" ]; then
                ${fwcmd} add divert natd all from ${локальная сеть} to any via ${oif}
            fi
            ;;
        esac

        # Allow packets for client1
        ${fwcmd} add allow all from ${выборочные локальные адреса} to ipclient1 out via ${oif}
        ${fwcmd} add allow all from ipclient1 to me in via ${oif}

        # Allow packets for client2
        ${fwcmd} add allow all from ${выборочные локальные адреса} to ipclient2 out via ${oif}
        ${fwcmd} add allow all from ipclient2 to me in via ${oif}
...

        # Allow anything outbound from this net.
        ${fwcmd} add allow all from ${внешняя сеть} to any out via ${oif}

        # Deny anything outbound from other nets.
        ${fwcmd} add deny log all from any to any out via ${oif}

        # Allow anything on the internal net
        ${fwcmd} add allow all from any to any via ${iif}

        # Allow TCP through if setup succeeded.
        ${fwcmd} add allow tcp from any to any established
и т.д.

при такой конфигурации локальных пользователей все равно не пускает к клиентам;

подскажите, где косяк?