Duvidas com REGRAS e ROTAS para DMZ

[andersonrm]

Boa tarde,
Galera estou separando a minha produção e criando uma DMZ a minha produção tem o ip range 10.10.4.0 e a DMZ 10.10.5.0 estou com dificuldades de criar as rotas e configurar o nat para estas maquinas.
De um modo geral as maquinas que estão na DMZ apenas terão acesso a autenticação com o Active Directory, SQL, DNS e DHCP.
Meu OPenBSD é 4.8 o PF ta configurado do seguuinte jeito:

Código bash:

int_if      = 10.10.5.5
ext_if      = 10.10.4.10
net_local   = 10.10.5.0/29
criei as regras:
#DNS
pass in quick on $ext_if proto { udp tcp } from $dns to $int_if port 53 keep state
pass in quick on $int_if proto { udp tcp } from $dns to any port 53 keep state
# Active Directory
pass in quick on $int_if proto { udp tcp } from $dns to $ext_if port 389 tag EXT_OUT keep state
#Permite acesso
pass in quick on $int_if proto {udp tcp icmp } from $net_local to any flags S/SA keep state
pass in quick on $ext_if proto { udp tcp icmp } from 10.10.5.18 to $ext_if keep state

Se tento do FW pingar a maquina 10.10.5.18 ele funciona porém qdo habilito as regras de proteção: block in all E block out all e tento pingar ele diz que não tem rota.
1) Minha dúvida é o seguinte as regras estão certas?
2) Qual as rotas que tenho de criar?
3) Como eu faço para que a rede DMZ 10.10.5.5 acessar somente os protocolos de DNS, SQL e AD.
Valeu....