Ядро собрано
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         HZ="1000"
options         DUMMYNET

/sbin/ipfw nat 1 config log if em0 reset same_ports
/sbin/ipfw add 10130 nat 1 ip from any to any via em0

em0 - внешний интерфейс.

NAT работает только если указать nat ip from from any to any
Однако нужно выпускать лишь определенные адреса, то есть:
nat ip from <IP> to any
Каков должен быть синтаксис?
Пробовал, как где-то видел через table:
/sbin/ipfw table 1 add 10.0.0.2
/sbin/ipfw add nat 2 ip from table\(1\) to any via em0

Тоже не работает.

• ipfw ядерный nat,PavelR, 17:25 , 26-Ноя-14
  • ipfw ядерный nat,Сергей, 19:07 , 26-Ноя-14
    • ipfw ядерный nat,Pahanivo, 07:08 , 28-Ноя-14

> Однако нужно выпускать лишь определенные адреса, то есть:
> nat ip from <IP> to any

Это бред.

Фильтрация - это фильтрация. Трансляция - это трансляция.

Если вы не сделаете нат, то исходящий пакет может уйти на внешний интерфейс неоттранслированым. Таким образом
- вы генерируете мусор (информационный шум)
- раскрываете внутреннюю структуру сети.

На нат надо заворачивать пакеты обеих направлений - исходящие через внешний интерфейс и входящие по внешнему интерфейсу. Соответственно правил должно быть минимум два. Это не iptables.

можно блокировать пакеты от ip из таблицы до ната...

>  можно блокировать пакеты от ip из таблицы до ната...

можно хотя бы маны почитать для начала ...