Спасибо за развернутый ответ!
Правда, пока почта не пошла, но уже есть с чем работать.
Вот мой обновленный файерволл, результат ipfw show c заменой переменными:
00005 10884  8742145 divert 8668 ip from any to $wanip in via em0
00006    44     2526 divert 8668 ip from $lannet to any out via em0
00007     0        0 allow ip from any 25,110 to $lannet
00008     0        0 allow tcp from $lannet to any dst-port 25,110 via em1 setup
00010 23325 11640333 allow ip from any to any via em1
00011     0        0 allow ip from $lannet to any dst-port 1025,1110
00012     0        0 allow tcp from any to $wanip dst-port 22
00020    18     2116 allow ip from any to any via lo0
00030     0        0 deny ip from any to 127.0.0.0/8
00040     0        0 deny ip from 127.0.0.0/8 to any
00050     0        0 fwd 127.0.0.1,3129 tcp from $lannet to any dst-port 20,21,2121,80,8080,8100,443,5190 out via em0
00070     0        0 check-state
00105    30     2280 skipto 400 udp from any to any dst-port 123 out via em0 keep-state
00106     0        0 skipto 400 udp from 10.73.200.38 to any dst-port 55777 out via em0 setup keep-state
00107     0        0 skipto 400 udp from any to 89.239.133.23 dst-port 4433,4440,7500,10229 out via em0 setup keep-state
00110   939    96848 skipto 400 udp from any to any dst-port 53 out via em0 keep-state
00111     0        0 skipto 400 tcp from any to any dst-port 53 out via em0 setup keep-state
00140     0        0 skipto 400 ip from $lannet to any dst-port 4899 out via em0 setup keep-state
00150     0        0 skipto 400 ip from $lannet to any dst-port 3389 out via em0 setup keep-state
00190 19820 10195078 skipto 400 ip from $wanip to any out via em0 setup keep-state
00200     1       64 deny ip from 192.168.0.0/16 to any in via em0
00201     0        0 deny ip from 172.16.0.0/12 to any in via em0
00202     0        0 deny ip from 10.0.0.0/8 to any in via em0
00203     0        0 deny ip from 127.0.0.0/8 to any in via em0
00204     0        0 deny ip from 0.0.0.0/8 to any in via em0
00205     0        0 deny ip from 169.254.0.0/16 to any in via em0
00206     0        0 deny ip from 192.0.2.0/24 to any in via em0
00207     0        0 deny ip from 204.152.64.0/23 to any in via em0
00208     0        0 deny ip from 224.0.0.0/3 to any in via em0
00215     0        0 deny tcp from any to any dst-port 113 in via em0
00220     0        0 deny tcp from any to any dst-port 137 in via em0
00221     0        0 deny tcp from any to any dst-port 138 in via em0
00222     0        0 deny tcp from any to any dst-port 139 in via em0
00223     0        0 deny tcp from any to any dst-port 81 in via em0
00310     0        0 allow tcp from any to $wanip dst-port 80 in via em0 setup limit src-addr 2
00350     0        0 allow tcp from any to $wanip dst-port 4899 in via em0 setup limit src-addr 2
00360    63     3180 allow ip from any to any established
00399    22     2560 deny log logamount 100 ip from any to any
00410 20789 10294206 allow ip from any to any
00999     0        0 deny log logamount 100 ip from any to any
65535     0        0 allow ip from any to any

Нат прописал в файерволле в начале
natd="/sbin/natd" #zapusk natd
$natd -a $wanip #
В сквиде у меня (комментарии только тут поубирал):
# created by SAMS _sams_ 2009-4-2 8:28:1
http_port 10.73.200.1:3128
http_port 3129 transparent
cache_mem 256 MB
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
ftp_passive on
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
acl _sams_49a7fc2ec14f3 src "/usr/local/etc/squid/49a7fc2ec14f3.sams"
acl _sams_49a7fc2ec14f3_time time MTWHFAS 00:00-23:59
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 443     # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 21        # multiling http
acl Safe_ports port 20        # multiling http
acl CONNECT method CONNECT
acl krasnuk  src 10.73.200.14 10.73.200.151-10.73.200.153
acl deny_download url_regex -i \.amr \.ogg \.vob
acl my_restrict url_regex   "/usr/local/etc/squid/restrict/my_host"
acl zakupki url_regex   "/usr/local/etc/squid/restrict/zakupki"
acl banners url_regex   "/usr/local/etc/squid/restrict/banners.acl"
http_access allow krasnuk
http_access allow zakupki
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny my_restrict
http_access deny deny_download  
http_access deny banners
#  TAG: http_access
http_access allow _sams_49a7fc2ec14f3  _sams_49a7fc2ec14f3_time  
http_access deny  all
visible_hostname ServerUFSIN
error_directory /usr/local/squid/share/errors/Russian-1251
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_49a7fc2ec14f3
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288

>в любом случае тебе нужно просматриватй твой ipfw show и анализировать на
>каких из твоих правилах у тебя останавливаются пакеты, для теста я
>бы вообще убрал все что можно и оставил только необходимое чтобы
>попробовать будут ли пахать рпедложенные конструкции, а дальше уже искать какими
>твоими правилами оно блокируется и писать список правил корректно, а главное
>с пониманием того что ты делаешь.
>
>да и не видя твоих конфигов правила фаера, сквида и ната тяжело
>что либо советовать.