Вот, столкнулся с интересной штукой.Используя такие правила:
.......
000100 divert 8670 ip from not 87.250.251.8 to any out via tun0
000110 divert 8670 ip from any to 87.250.251.8 in via cp1
000115 allow icmp from any to any limit src-addr 15
.......
получаем, что ICMP-пакеты не проходят трансляцию, т.е. в правило 100 они попадают, но на внешнем tun0 они идут от нативных адресов. Убираем правило 115 и всё натит верно.
Более того, ставим:
000115 allow icmp from any to any
и тоже всё пучком ;)
Проверено как под 4.11, так и под 6.2-R.
Кто сталкивался и с чем м/б связано?