Что может быть не так? if_wan="tun1" ip_wan="192.168.1.1" ${fwcmd} -q nat 11 config if

${if_wan} same_ports unreg_only log redirect_port tcp 192.168.2.2:80 80
${fwcmdadd} 80 deny log ip from any to any ip4 frag in recv ${if_wan}
85 deny log ip from any to not me ip4 in recv ${if_wan}
3000 reass ip4 from any to any in via ${if_wan}
3002 allow icmp from any to ${ip_wan} icmptypes 8 in via ${if_wan}
3003 nat 11 ip from any to any in via ${if_wan}
3004 check-state
3211 skipto 11990 tcp from any to 192.168.2.2 80 ip4 in recv ${if_wan} keep-state
3296 skipto 20000 ip4 from any to any in via ${if_wan}
3300 skipto 11990 tcp from any to any ip4 out xmit ${if_wan} setup keep-state
3301 skipto 11990 udp from any to any ip4 out xmit ${if_wan} keep-state
3302 skipto 11990 icmp from any to any ip4 out xmit ${if_wan} keep-state
3396 deny log ip4 from any to any out xmit ${if_wan}
11990 nat 11 ip from any to any out via ${if_wan}
11995 allow tcp from any to any ip4
11996 allow udp from any to any ip4
11997 allow icmp from any to any ip4

Первым делом выкинуть из конфига unreg_only и больше никогда его бездумно не копипастить

спасибо, unreg не копипаста а умышленное (ок, удалил), копипаста это что-либо вроде frag... reass вроде итак до. send/recv - на самом деле уже изначально, неправильно было уже на экспериментах. Закат - на эти правила у меня еще skip'ы есть, надо подумать, смысл был. Только убирание check-state и keep-state все положило в итоге (исходящий в первую очередь)... без ks у меня никогда и не работало. :(