PF nad bridge

[Cizek.Milan]

Ahoj,
snažím se přenést jedno funkční řešení z 6.3-RELEASE na 7.1, ale nedaří se. :-(

2x síťová karta v bridge, IPFW+PF, ukázka rc.conf...

ifconfig_fxp0="192.168.1.14/24 up"
ifconfig_rl0="up"

cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0 addm rl0 up"

pf_enable="YES"
pflog_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_quiet="YES"
firewall_logging="YES"

Ať dělám co dělám, nedaří se mi přinutit, aby mi provoz protékal skrz PF (na té 6.3 mi to jde), dělám to takto:

sysctl net.link.bridge.ipfw=1
sysctl net.link.bridge.pfil_member=1
sysctl net.link.bridge.pfil_bridge=1
sysctl net.inet.ip.forwarding=1

Jediný znatelný rozdíl při přenosu byl ten, že jsem z kernelu na 7.1 musel vyhodit "options BRIDGE" (nezná) a ponechat pouze device if_bridge. Když porovnám sysctl, jsou tam nějaké odlišnosti (chybí např. net.link.ether.bridge.config). Nevíte někdo, kde může být pes zakopán? Díky za radu.

Milan