Краткое резюме из статьи1) Александра Сысоева о работе сетевого стека.
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.one_pass=0
В /etc/rc.conf:
firewall_enable="YES"
Там же указываются дополнительные опции:
firewall_nat_enable="YES"
firewall_logging="YES"
firewall_type="тип(open, closed,...)"
в этом случае применяются стандартные настройки firewall-а указанного типа,
firewall_script="путь к скрипту"
вместо стандартных правил
В /etc/sysctl.conf:
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.verbose_limit=5