IPFW Поподробнее в теории?

[Indiver]

В инете очень много различных конфигов по настройке ipfw однако очень мало теоретической информации по его функционированию, и прежде чем что-то ваять и биться головой о "стену" (и фигурально и буквально) хочется представить себе это все более подробно. На рисунке приведена схема файервола (как я её себе предствляю, может это и неправильно тогда поправте меня пожалуйста)
А теперь вопросы:
1. на схеме нарисованы как бы два потока через две сетевухи исходящий (относительно LAN) и входящий. Чтобы эти потоки функционировали, обязательно ли чтобы это было явно разрешено правилами на обеих картах. т. е.
будет ли исходящий поток, если я разрешу только
add pass from lan to any via rl1
(any уже включатет оба потока?)
или нужно скажем так
add pass from lan to any via rl1 in
add pass from lan to any via fx0 out

Какая альтернатива использования динамических правил?
Открытие портов выше 1023 на вход из инета?

Не могли бы вы поподробнее рассказать в каких целях
natd использует определенный порт, общие принципы подмены адреса мне понятны,
но зачем нужно прописывать какойто порт в правилах, что нельзя скажем взять пакет и поменять ему адреса? ЗАчем порт?

Много разных вариантов использования nat в некоторых идет divert any to any, в некоторых идет any to port
в чем разница?

В конфигах использующих и динамические правила и natd с помощью правила scipto обработка переносится за дефолтное запрещающее правило Так разве можно? Ведь сказано что оно должно идти последним?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[northern]

Рекомендую для начала побиться головой о "стену" (и фигурально и буквально) в поисках книги или статей по фаеру, благо этого материала сейчас полно, тогда вопросы типа: "divert any to any, в некоторых идет any to port" в чем разница?" отпадут сразу. а вот когда будешь понимать чем any to any отличаеться от any to port и при этом что-то не будет работать - тогда тебе помогут. а без теории ты всё равно ничего не поймёшь

[dikens3]

В инете очень много различных конфигов по настройке ipfw однако очень мало теоретической информации по его функционированию, и прежде чем что-то ваять и биться головой о "стену" (и фигурально и буквально) хочется представить себе это все более подробно.

В инете по настройке дофига информации по ipfw,pf и прочим брендмауэрам.
Т.к. все задачи как правило специфичные(да и не дело всем делать одинаковый фаер) то есть всегда одно правило, к которому нужно стремится:
Всё, что не разрешено, запрещено

1. на схеме нарисованы как бы два потока через две сетевухи исходящий (относительно LAN) и входящий. Чтобы эти потоки функционировали, обязательно ли чтобы это было явно разрешено правилами на обеих картах.

Да, читать выше основное правило при составлении фаера. (В редких случаях от него можно отступать, пока учишься к примеру).

будет ли исходящий поток, если я разрешу только
add pass from lan to any via rl1
(any уже включатет оба потока?)

Смотря что нужно добится этим правилом.
Более полно правило выглядит так:

add pass from lan to any in via rl1
add pass from lan to any out via rl1

Весь входящий траффик на интерфейсе rl1 будет принят, только если IP адрес будет принадлежать к lan.(lan = 192.168.0.0/16 к примеру)
Тоже про исходящий.

или нужно скажем так
add pass from lan to any via rl1 in
add pass from lan to any via fx0 out

Пакет нормально уйдёт в инет по этим правилам. Только его нужно сначала натить, прежде чем сработает out via fxp0.

Какая альтернатива использования динамических правил?

Это просто дополнительна возможность. Какая альтернатива телевидению?( Радио, посещение концертов, кинотеатров и т.п.)

Не могли бы вы поподробнее рассказать в каких целях
natd использует определенный порт, общие принципы подмены адреса мне понятны,
но зачем нужно прописывать какойто порт в правилах, что нельзя скажем взять пакет и поменять ему адреса? ЗАчем порт?

Читайте в интернете типы натов. (На заметку возьмите себе STUN для выяснения какой у вас nat организован)
Каждый nat работать может по разному и имеет свои плюсы/минусы.

Много разных вариантов использования nat в некоторых идет divert any to any, в некоторых идет any to port
в чем разница?

Кто как хочет, так и др..ит. Как кому удобнее и на что хватает знаний. По обыкновению нужно чтобы работало и причём сразу. Вот и получаются такие конфиги.

В конфигах использующих и динамические правила и natd с помощью правила skipto обработка переносится за дефолтное запрещающее правило Так разве можно? Ведь сказано что оно должно идти последним?

последнее правило с номером 65535 дефолтное (deny или allow). Оно и есть последнее.
В динамических правилах (они отображаются просто после всех правил фаера) обратите внимание на номера, они будут соответствовать правилам с keep-state, и иметь номера до 65535.

skipto пернаправляет пакет на нужное правило до 65535, где вы увидели что оно за пределами 65535?