>[оверквотинг удален]
>pass in on $int_if proto icmp from <web> to 192.168.1.5
>pass out on $int_if proto icmp from 192.168.1.5 to <web>
>
>И ничего... пинг с узла 192.168.1.5 на узлы <web> не идёт (естественно с узла 192.168.1.5 вводится ip адрес,а не имя хоста т.к. dns в данном примере не разрешён.)
>PS: этот конфиг конечно упрощенный, но и с ним не работает так
>как мне нужно. Поэтому, я повторю вопрос:
>Как можно организовать, используя pf c NAT, доступ ко внешним ресурсам ориентируясь
>по внутреннему ip или внутреннему dns имени?
>PSS: конфигурация сети простая, один интерфейс смотрит во внешнюю, другой во внутреннюю
>сеть.

Конфиг у Вас не работает потому что написан неправильно. Нужно понять логику работы pf и как пакеты ходят.

Например когда Вы хотите пингануть что-нибудь во вне пакет из внутренней сети приходит на внутренний интерфейс ( т.е. он входящий на внутреннем интерфейсе ) потом к нему применяется правило nat, и затем он он должен уйти с внешнего интерфейса ( если правила фильтра ему позволяют ). А у Вас пакеты блокируются уже на входе во внутренний интерфейс.

Советую почитать хотя бы pf FAQ на OpenBSD.org. Обратите внимание на statefull filtering.