Есть отдельный прокси
/ адрес 192.168.0.1
есть файрвел на фришке
/ внешний адрес 217.23.18.**
внутренний 192.168.0.250
Подскажите как на сделать чтобы весь исходящий HTTP трафик шел через файрвел (192.168.0.250)
а входящий через прокси

ipfw add [1000] fwd ipАдрес,Порт tcp from СЕТЬ(или адрес) to ipАдрес Порт
номер правила
завернуть
куда и на какой порт
какой протокол
кто шлет пакеты
на какой адрес и порт
рабочий пример ipfw add 1000 fwd 127.0.0.1,3128 tcp from 172.31.16.0/24 to any 80
завернуть на проксик, который на порту 3128 все пакеты tcp из сети 172,31,16,0 на любой Ip на порт 80 (http)

Два базовых момента.
1. разрешим исходящий от прокси:
ipfw add pass tcp from 192.168.0.1 to any 80 in via ${iif}
где ${iif} - внутренний интерфейс (имя сетевой карты, смотрящей во внутреннюю сеть)
2. завернем http трафик из внутренней сети на прокси:
ipfw add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 in via ${iif}
при этом считаем, что у нас транспарент-прокси на порту 3128 компьютера по адресу 192.168.0.1

Замечу, что входящий http-трафик является следствием сответствующих запросов, и идет по маршруту вызова, т.е. если нужно, чтобы ответ шел через прокси, то и запрос на web-страницу тоже должен направляться через него.

Эти правила ставить до
${fwcmd} add divert natd all from any to any via ${natd_interface}

или после?