Имею нижеследующие правила, позволяющие из внутренней сети с серыми адресами иметь доступ в инет через один реальный IP, стоящий на ИНТЕРНЕТ-шлюзе.

xl0 - интерфейс смотрящий наружу.

ipfw add 00400 divert natd ip from 10.0.0.0/24 to any out via xl0
ipfw add 00500 divert natd ip from any to 195.195.195.195 in via xl0

Без применения правила ipfw add 65000 pass all from any to any в конце правил ничего не работает, хотя по умолчанию firewall настроен на закрытие всего и всем.
Как все же избежать правила 65000 сохранив при этом работоспособность инета на клиентских местах?

Достаточно ли будет разрешить в обе стороны 21,22,25,53,80,110,143 tcp/udp порты, icmp, дабы обеспечить работу ftp,ssh,почты,dns,http, ну и какие-то специфичные порты, которые мне потребуется открыть, а все остальное чтобы было закрыто?

А то сейчас неправильно все же, закрываю то что нужно закрыть, а должно все же быть наоборот, открыть то что необходимо при закрытых всех остальных портах.