Для особо (альтернативно) одарённых проблемка в том, что дописать в правило pass in route-to условие «только при TTL больше 1» нелья pf не сдюжит такой критерий. И вместо того, чтобы получить expired-in-transit от роутера LAN, такая ICMP будет прилетать от роутера провайдера.
> все правильно. в чем проблема?
Мужик, ну ты чё такой тугой, а?…