Доброго времени суток.
Раскрываю проблемку.
Постановка задачи:

есть локальная сеть 192.168.1.0/24 которая получает интернет через шлюз.
Шлюз под freeBSD:
em0 - внешний интерфейс
em1 - внутренний интерфейс ip - 192.168.1.1
Необходимо что бы пользователи локальной сети получали почту с удаленного сервера по защищенном tls порту 995 и получали по 465.И ходили на удаленный рабочий стол по порту 3389.

Драма:
для последнего используеться проброс портов, это понятно и не интересно...но для tls
портов нужно натить, что у меня благополучно не получаеться.

Оружие:
итак использую было скурено много мануалов и остановился на ipfw+nat.
Привожу конфиги всго что может Вас заинтересовать:

$ ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 08:00:27:3a:a9:7f
        inet 10.10.10.100 netmask 0xffffff00 broadcast 10.10.10.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 08:00:27:45:40:54
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

$ ee /etc/rc.conf
defaultrouter="10.10.10.1"
hostname=".TEST"
ifconfig_em0="inet 10.10.10.100  netmask 255.255.255.0"
ifconfig_em1="inet 192.168.1.1 netmask 255.255.255.0"
keymap="ru.koi8-r"
linux_enable="YES"
gataway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
firewall_loging="YES"
nat_enable="YES"
nat_interface=em0

$ ee /etc/firewall.conf
#!/bin/sh

FwCMD="/sbin/ipfw"
LanOut="em0"
LanIn="em1"
IpIn="192.168.1.1"
NetMask="24"
NetIn="192.168.1.0"

${FwCMD} -f flush

${FwCMD} add check-state

${FwCMD} add allow udp from any to any 22 via ${LanOut}
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#${FwCMD} nat 100 config log if ${LanOut} deny_in reset same_ports
#${FwCMD} add nat 100 ip4 from any to any via ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any 3389 to any via ${LanOut}
${FwCMD} add allow udp from any to any 3389 via ${LanOut}
${FwCMD} add allow udp from any 22 to any via ${LanOut}

# ipfw show
00100   0     0 check-state
00200   0     0 allow udp from any to any dst-port 22 via em0
00300   0     0 allow ip from any to any via lo0
00400   0     0 deny ip from any to 127.0.0.0/8
00500   0     0 deny ip from 127.0.0.0/8 to any
00600   2   274 allow udp from any 53 to any via em0
00700   2   144 allow udp from any to any dst-port 53 via em0
00800   0     0 allow udp from any 3389 to any via em0
00900   0     0 allow udp from any to any dst-port 3389 via em0
01000   0     0 allow udp from any 22 to any via em0
65535 564 62688 allow ip from any to any

вот вроде все. Ребята пожалуйста помогите...где неправильно написал правило,или какие еще правила надо написать что бы занатить например порт 3389, ну и всоответствии 465 и 995