00010 89543 18761333 divert 1234 ip from 10.10.15.0/24,10.10.16.0/24,10.10.10.0/24,10.10.17.0/24 to any out via xl0
00020 93923 63800549 divert 1234 ip from any to 80.1.1.1 in via xl0
01105 237 14671 pipe 1105 ip from any to 80.1.1.100 out
01105 330 30749 pipe 4105 ip from 80.1.1.100 to any in
01170 15 3203 pipe 1170 ip from any to 10.10.15.208 out
01170 17 1079 pipe 4170 ip from 10.10.15.208 to any in
01286 423 233618 pipe 1286 ip from any to 10.10.15.88 out
01286 416 77037 pipe 4286 ip from 10.10.15.88 to any in
01293 524 96583 pipe 1293 ip from any to 10.10.16.7 out
01293 541 26834 pipe 4293 ip from 10.10.16.7 to any in
01386 701 776521 pipe 1386 ip from any to 10.10.16.79 out
01386 616 53346 pipe 4386 ip from 10.10.16.79 to any in
01397 650 606248 pipe 1397 ip from any to 10.10.16.90 out
01397 571 70521 pipe 4397 ip from 10.10.16.90 to any in
01526 343 115859 pipe 1526 ip from any to 10.10.16.220 out
01526 329 18143 pipe 4526 ip from 10.10.16.220 to any in
10050 99105 19848460 allow ip from me to any
10055 7667 654742 allow ip from any to me
10060 1644 140262 allow icmp from any to any
10065 2 80 deny tcp from any 137,138,139,135,445,9999,1028 to any
10070 0 0 deny udp from any 137,138,139,135,445,9999,1028 to any
10080 14816 2107050 allow ip from 80.1.1.0/24 to any
10090 42580 3172570 allow ip from any to 80.1.1.0/24
11000 89363 18745025 allow ip from 10.10.0.0/16 to any
11100 171896 126251630 allow ip from any to 10.10.0.0/16
65535 390 26260 deny ip from any to any

80.1.1.1- реальный IP этой машины что поднят нат, она стоит за циськой.
80.1.1.100- один из клиентов

проблема в том, что те кто сидит пол серыми IP под НАТ, скорость режется, а те что на реал-ip толкьо исходящая, а входящая нет :(
Как починить?
sysctl -w net.inet.ip.fw.one_pass=0 стоит