Люди , помогите чем можете. Мож кто сталкивался....

Есть фрюшный(6.0) роутер (ipfw+natd). В нем 4 интерфейса, fxp0 и rl0 смотрят на разных ISP, re0 смотрит в локальную сеть ,re1 в серверную.
fxp0:172.16.0.1/24 - ISP1
rl0:172.16.1.1/24 - ISP2
re0:10.0.1.1/24 - локальная сеть(около 1000 машин)
re1:10.0.0.1/24 - серверная сеть

Изначально задача стояла такая:
- разрешить локальной сети ходить в серверную
- разрешить локальной сети ходить в инет только по fxp0
- разрешить серверной сети ходить в инет только по rl0

При таких правилах на ipfw все работает вроде нормально

80 allow ip from 10.0.1.0/24 to 10.0.0.0/24
90 allow ip from 10.0.0.0/24 to 10.0.1.0/24
100 allow ip from 192.168.0.0/16 to 10.0.0.0/24
200 allow ip from 10.0.0.0/24 to 192.168.0.0/16
300 divert 8668 ip from 192.168.0.0/16 to any
400 divert 8672 ip from 10.0.0.0/24 to any
1000 fwd 172.16.1.100 ip from 172.16.1.1 to any
1100 divert 8668 ip from any to 172.16.0.1
1200 divert 8672 ip from any to 172.16.1.1
50000 allow log logamount 100 ip from any to any

за исключением того что ядро скомпилено по умолчанию на deny all from all, и пришлось написать в конец 50000 правило, иначе не работает.
Но главная беда не в этом.... главная беда в том что при существующих настройках, как я догадываюсь natd, рубит все не особо активные соединения (irc,icq,ssh) с интервалом от 1-2 минут до получаса. Динамические правила не использую , значит смысла крутить net.inet.ip.fw.dyn_keepalive и net.inet.ip.fw.dyn_syn_lifetime смысла не вижу. Хотя можно попробовать сделать эти keep_state правила и покрутить, но нет возможности, народу много сидит за роутером и времени на эксперименты мало....

Присоветуйте чтонить?