Есть vpn под mpd.
К нему цепляется клиент, при логон-логофф которого скриптом поднимаются-опускаются правила.

Пример из жизни:
11537        0           0 pipe 128 log logamount 1000 ip from any to any out xmit ng4
11537       18        1084 pipe 64 log logamount 1000 ip from any to any in recv ng4
21537      588      212670 allow log logamount 1000 tcp from 192.168.94.52 to any limit src-addr 10
21537        8         626 allow log logamount 1000 tcp from any to 192.168.94.52 limit dst-addr 10

Содержимое /var/log/security подтверждает что в первый пайп пакеты не попадают.

Шаманства вида
/sbin/ipfw add $rulenum pipe $uppipe ip from any to $client_ip in (via $client_iface) требуемого эффекта не дают.

Не могу понять где собака порылась.

ЗЫЖ Разумеется ipfirewall, dummynet в ядре есть, пайпы есть.

• грабли с ipfw pipe,A Clockwork Orange, 06:48 , 14-Окт-04
  • грабли с ipfw pipe,Макар, 08:09 , 14-Окт-04
  • грабли с ipfw pipe,Аноним, 10:22 , 14-Окт-04

До правила  pipe 128 log logamount 1000 ip from any to any out xmit ng4
нет ли какого-ниубдь еще разрешающего правила out xmit ng4 ?

Как я понял, хочешь клиенту на интерфейсе ngX зажать трафик ?
А чем не устраивает возможности mpd ?
set bundle yes bw-manage
set link bandwidth (bits-peer-second)

>До правила  pipe 128 log logamount 1000 ip from any to
>any out xmit ng4
>нет ли какого-ниубдь еще разрешающего правила out xmit ng4 ?

Убил все. Эффект нулевой. Есть аналогичные правила, но разумеется для других интерфейсов.

Что цинично, в /var/log/security:

Oct 14 02:01:13 access0 /kernel: ipfw: 21537 Accept TCP 216.228.115.17:20 192.168.94.52:3153 in via fxp0
Oct 14 02:01:13 access0 /kernel: ipfw: 21537 Accept TCP 216.228.115.17:20 192.168.94.52:3153 out via ng4

Но это второе правило...