PF NAT и три аплинка с BGP

[blackjackchik]

Всем привет. Есть сеть /22, три аплинка с поднятыми BGP сессиями. Сейчас используем фаерволл IPFW и KERNEL NAT.
В локалке куча серых подсетей каждая из которых натится под одним из белых адресов. Плохо то, что очень много правил в фаерволе типа

Код: Выделить всё

ipfw nat N config ip <белый адрес>
ipfw nat N ip from <серый адрес> to any out
ipfw nat N ip from any to <белый адрес>

и таких правих, не считая фильтрацию и шейпинг с помощю таблиц, около 60. Тазик переваривает 300 мегабит трафика. Но сдается мне что такая схема неправильная.
Теперь вопрос: стоит ли перейти на PF NAT, и если так, то как это сделать. Потому, что если пакет уходит например через аплинк 1, а ответ на него приходит через аплинк 3, то правило пф ната на 3 аплинке ничего не знает о пришедшем пакете и не обрабатывает его.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Я бы не стал переходить на ПФ. Он не оптимизирован для SMP и скорее всего потеряете на нем в скорости.

[blackjackchik]

что ж посоветуете? сейчас идет сегментация сети, городить еще несколько деcятков правил ipfw nat ?

[terminus]

Оптимизировать правила через skipto?