[kim-aa]

1) Ознакомтесь http://forum.oszone.net/announcement-55-74.html
2) Думаю в случае PORT MAPPING'а + балансировки - так и должно быть, т. е. эти технологии плохо совместимы (я например с трудом это представляю), т.к. у Вас возникает ситуация что запрос приходит на один IP, а отвечать пытается другой. Естественно фаерволами это воспринимается как атака.