В том же pf PBR сделан слегка «через-жопно». Если использовать «pass in quick on … route-to (out_if $out_if_gw)», то следовало бы ограничить область действия данного правила, так, чтобы пакеты с TTL < 2 не forward'ились (согласно RFC). Но, увы, дремучий ipfilter могёт, а pf — нет. Есть конечно, отдельная область, типа «stealth gateway», но по-хорошему, зачастую на практике надо чтоб tracert из локалки честно показывал первый хоп, а не высвечивал IP провайдера. Так что там про дизайн вы говорили?… :-)
> Мало ли до чего может извратиться