>    А зачем последнее правило? В прозрачном перенаправлении трафика на
> сквид хватает первого.
> rdr pass on $int_if inet proto tcp from any to any port
> 80
> -> 127.0.0.1 port 3128

Т.к. в Pf при rdr трафик проходит через фильтры, поэтому если его явно не разрешить то он будет дропнут на последнем правиле deny.

>  А tcpdump что говорит на интерфейсах
>   tcpdump -nqtttti _IF_NAME_

А он весь http трафик прекрасно видит, и на int_if и на bridge0. Более того в логах pf отрабатывает именно второе правило pass in log quick...
Вот только на lo0 ничего нет, вообще...
Кстати тоже странность вроде бы, одинаковые пакеты и на int_if и bridge_if. Т.е. по логике уходя с клиента они попадают на int_if, но потом должно сработать правило редиректа, и оно как бы даже срабатывает, но этот же пакет появляется и логируется на bridge0 по второму разу.