Есть два канала.
xl1 82.205.254.218 шлюз 82.205.254.217
xl0 192.168.1.2 шлюз 192.168.1.1

У пользователей есть две подсети 10.1.1.0/24 и 10.0.0.0/24. Первая подсеть должна выходить через первый канал, вторая через второй.

Запущена пара натов: для первого канала на порту 8668, для второго - на порту 4444.

Вот так выглядят правила фаервола ipfw:
ipfw add divert 8668 ip from 10.1.1.0/24 to any
ipfw add divert 4444 ip from 10.0.0.0/24 to any
ipfw add fwd 82.205.254.217 ip from 82.205.254.218 to any
ipfw add fwd 192.168.1.1 ip from 192.168.1.2 to any
ipfw add divert 8668 ip from any to 82.205.254.218
ipfw add divert 4444 ip from any to 192.168.1.2

Правила брал отсюда: http://ipfw.ism.kiev.ua/pbr.html. В статье написано, что должно работать не зависимо от default route прописанного в ОС. На деле если не прописан дефаулт роут, то не инет на подсети не раздается вообще. Если прописать дефаулт роут одного из каналов, то инет работает через этот канал.

А ядре присутствуют опции:

options IPFIREWALL
options IPDIVERT
options IPFIRWALL_FORWARD

ОС FeeBSD 6.2.

Где грабли?