>>Весь IP трафик TCP и UDP,
>>squid здесь не помошик 8-(
>>IPFW замечательно с этим справляеться, но
>>при включении моста перестает работать nat.
>>А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>>
>
>почему нельзя...
>очень даже можно...
>как вариант - если за шлюзом (в сторону локалки) свич, поднять vlan'ы,
>на каждую vlan навесить свою сеть (какую хошь, хоть с реальным
>ИП (порезав на подсетки с более длинной маской) хоть с нереальным),
>не забыть на киске (или что там в сторону инета) прописать
>маршруты к сеткам с реальными ИП, считать траффик с каждой vlan
>отдельно посредством ipfw и например ipa, natd запускать с ключиком -unregistered-only.
>
>
>да и без vlan'ов наверно сделать можно (зависит от ситуации, конечно)
>
>или я чего то не поняла :)

Как мне видится ситуация такая.
Кинету дали подсеть реальных адресов.
Один адрес он взял для своего маршрутизатора с natd, ipfw под фрей, за ним локалка c фейковыми адресами.
Остальные реальные адреса он хочет тоже использовать.
В данной ситуации все машины с реальными адресами, включая свой роутер на фре подключаются к инету через хаб.
Клиет хочет что бы весь трафик, включая с реальных адресов был им контролируем.
Решение с вланами не подходит так как сеть нужно дробить на подсети с потерей адресов.
Мост правильное решение. Но поднимать его надо на второй машине под фрей.
Хаб-мост-{роутер с фрей + машины с реальными адресами}.

Если поднять мост на существующей машине,
сложные операции, такие, как 'divert', 'forward' или 'reject', недоступны. Эти операции все же можно использовать, но только для трафика к или от машины, являющейся сетевым мостом.