Доброе утро!
имеем фрю-5.2.1, пытаемся накрутить ipacctd на natd ( и transparent squid, но это неважно).
Наружу смотрит rl0, внутрь - rl1. Два ipacctd слушают на 10000 и 10001
Пришли к таким выводам:

add 50200 divert 10001 ip from not me to not me out via rl1
add 50210 tee natd ip from any to any via rl0
add 50220 divert 10000 ip from not me to any in via rl0
add 50230 check-state
add 50240 allow all from any to any keep-state

так всё хорошо, всё складывается в лучшем виде. Но.
делаем ping наружу --- видим дупы. Нехорошо это.
делать что? tee на divert менял --- отпадает natd (и ping вообще не идёт). Что бы ещё придумать?

• ipacctd , natd и дуплящиеся пинги,alexxwiz, 17:36 , 28-Июл-04
  • ipacctd , natd и дуплящиеся пинги,Peter, 10:26 , 30-Июл-04

>add 50200 divert 10001 ip from not me to not me out via rl1
>add 50210 tee natd ip from any to any via rl0
>add 50220 divert 10000 ip from not me to any in via rl0
>add 50230 check-state
>add 50240 allow all from any to any keep-state

Как-то сильно сложно. Что хотели сделать-то? Трафик посчитать?
Не проще ли

add 50200 divert 10000 all from any to any via rl1

и самой считалкой отбрасывать локальный трафик?

>
>>add 50200 divert 10001 ip from not me to not me out via rl1
>>add 50210 tee natd ip from any to any via rl0
>>add 50220 divert 10000 ip from not me to any in via rl0
>>add 50230 check-state
>>add 50240 allow all from any to any keep-state
>Как-то сильно сложно. Что хотели сделать-то? Трафик посчитать?

да, на то он и ipacctd

>Не проще ли
>add 50200 divert 10000 all from any to any via rl1
>и самой считалкой отбрасывать локальный трафик?

после мучений родил, что надо tee и divert местами поменять. А в такой фигурации, оказалось, в локалку нат не отдаётся.