Servus.

ADSL funktioniert? Gut. 
Sprich, das ist im Kernel?:
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_PPPOE

Gut, dann pack noch folgendes dazu:

options IPFIREWALL
options IPDIVERT

Evtl. kannst Du das auch einfach als Module nachladen, ja, das sollte auch gehen. 
Schau mal unter Deinen modules nach.

Auch das wäre nicht schlecht in den kernel zu packen:
options IPFIREWALL_VERBOSE 
options IPFIREWALL_VERBOSE_LIMIT=100 

So, dann ab in die rc.conf:

firewall_enable="YES"
firewall_script="/etc/firewall/fwrules"

Es wäre sinnvoll, wenn Du nicht selbst an dem Rechner sitzt, folgende Zeile mit aufzunehmen, sonst schiesst Du Dir selbst in das Knie, sprich, Du sperrst alles aus, da als Standard folgende Rule gesetzt wird:

65535 deny ip from any to any

Ja, und das wäre dann unschön, daher, falls es ein entferneter Rechner ist:

firewall_type="OPEN"

in die rc.conf. 
Selbstverständlich später wenn die firewall rennt, wieder rausnehmen.

Kurz Erklärung zu:
firewall_script="/etc/firewall/fwrules"
Unter /etc/firewall legst Du eine Datei an die Deine IPFW Rules beinhaltet. 
Deine Rules kannst Du anhand der manpage und/oder des FreeBSD handbook erstellen. 

Hier mal ein paar Rules:
ipfw add 10 divert natd all from any to any via tun0
# Sollte ganz oben stehen, da wir später NATD als portforwarder nutzen werden.

ipfw add allow ip from any to any via lo0
# erlaubt den Durchgang aller Daten auf localhost und der NIC

ipfw add allow ip from any to any via xl0
# das ist die interne NIC, es wird alles andere für jeden anderen über diese erlaubt

ipfw add allow tcp from any to any out xmit tun0 setup
# Erlaubt alle Verbindungen welche von hier initiiert werden

ipfw add allow tcp from any to any via tun0 established
# wenn die Verbindung mal steht offen halten

ipfw add allow udp from any to 195.20.224.234 53 out xmit tun0 
ipfw add allow udp from any to 194.25.2.129 53 out xmit tun0
ipfw add allow udp from any to 217.5.99.105 53 out xmit tun0 

ipfw add allow udp from 195.20.224.234 53 to any in recv tun0 
ipfw add allow udp from 194.25.2.129 53 to any in recv tun0
ipfw add allow udp from 217.5.99.105 53 to any in recv tun0

# DNS wird an die angegeben DNS Server (T-Online) erlaubt, antworten werden nur von diesen akzeptiert und nicht einem dahergelaufenen. 

ipfw add 65534 allow ip from any to any
# zum schluss verbieten wir alles andere.

So, oder so ähnlich sieht das dann in etwa aus. Wobei obige Rules funktionieren. Musst nur die interne NIC (xl0) durch die Deine ersetzen. 


Kommen wir zum NAT. Sprich Deinen Webserver der eine interne IP hat, soll von aussen erreichbar sein. Ich mache das hier beispielsweise mit jails. Das hostsystem leitet die Anfragen für FTP, HTTP, SMTP weiter in die jeweiligen jails. 

/etc/rc.conf

natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic -f /etc/firewall/natd.conf"

Das wars, für die rc.conf.

Dann erstellst Du die Datei "natd.conf" unter /etc/firewall/ und trägst dabei folgendes ein:

redirect_port tcp 192.168.0.203:80 80
redirect_port udp 192.168.0.203:80 80

Das heisst, 192.168.0.203 ist die IP des internen Rechners (oder jail) auf die der webserver rennt (port 80). Die alleinstehende "80" ist der port Deines Rechner der die Anfrage dann eben an die interen IP weiterleitet. 
Ganz einfach, nicht?

So, das war es dann, sollte so rennen. 

Bei Fragen, gerne auch via mail.

grunix