Usei o IPFW para bloquear uma faixa de IP e liberar apenas alguns IPs dessa faixa
Exemplo:

/sbin/ipfw add 50002 allow all from 10.0.0.2 to any via rl1
/sbin/ipfw add 50003 allow all from 10.0.0.3 to any via rl1
/sbin/ipfw add 50004 allow all from 10.0.0.4 to any via rl1
/sbin/ipfw add 50005 allow all from 10.0.0.5 to any via rl1
/sbin/ipfw add 50006 allow all from 10.0.0.6 to any via rl1
/sbin/ipfw add 50007 allow all from 10.0.0.7 to any via rl1
/sbin/ipfw add 50008 allow all from 10.0.0.8 to any via rl1
/sbin/ipfw add 50009 allow all from 10.0.0.9 to any via rl1
/sbin/ipfw add 50010 deny all from 10.0.0.0/24 to any via rl1

O problema é que os Ips Liberados não pingam de dentro do servidor NAT dando sempre
Ping 10.0.0.2
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

Mas minha maquina navega na Internet passando pela servidor NAT com se não tivesse nenhuma como dentro do servidor.

Na verdade esta funcionado como eu queria a regra só que tenho a necessidade que de dentro do servidor NAT que acesso por SSH o ping funcione corretamente para os IPs Liberado.

Talvez alguém tenha uma rega melhor podem me passar??
Agradeço qualquer ajuda.

Mauro