Роутинг + Серв

[ES131245]

Машины
Машина 1 - ПК с FreeBSD будет Routerом железо свежее
Машина 2 - ПК с FreeBSD будет APACHE + PHP + MySQL + FTP железо такое же
Машина 3 - Ubuntu 9.10 Power Desktop
Остальные машины массив виндузяшников

Задача:
Есть выделенка с доменом которая идет на роутер который взаимодействует с дом сетью
в которой есть серв дсктоп и массия виндузяшников
так же ssh всех (кроме виндузяшников) с внутреней сети по 22 порту а внешни с 10* через переадресацию роутера (где * машина)

Условия:
На routere и serv ipfw обязательны
на роутере порты все закрыть кроме 80 для нэта и 22 ssh
на серв открыть только порты SSH HTML MYSQL FTP

загвозки в конфиге ipfw и полное не понимание ipnat
есть набросок но в в синтаксисе трудности плз выкапайте
Воображаемый Router ipfw.conf

# ll1 внутряняя сеть где серв десктоп и виндузяшники
#nl1 внешняя сеть где домен ip и нэт
# 22 порт это для ssh внутри сети
#так же открыть доступ к ssh с мира роутера серва и десктопа по портам 101 102 и 103 через
# переадресацию в ipfw
# ip внешний nl1 10.10.10.10
# ip routera 1.1.1.1
# ip serva 1.1.1.2
# ip desktopa 1.1.1.3

fwd 80 from any to 10.10.10.10 in recv nl1 via xmit ll1
# сайт? го на серв... как указать ip серва?
allow 22 from any to me recv ll1
# ssh? если только ты с дом сети
fwd 101 from any to me 22 recv nl1
# 101? секретный доступ к ssh с мира =)
fwd 102 from any to me in recv nl1 via ll1
# секретный доступ к ssh сервака с мира... как указать ip серва и его порт?
fwd 103 from any to 1.1.1.3:22 in recv nl1 via ll1
# секретный доступ к ssh десктопа с мира
allow from me 80
# даешь инет дому и сайт миру
allow from me 22 ll1
# открыто общаться по ssh внутри сети
deny from all to all
# всех остальных долой


тут нэт нормально пойдет?
а что есть я открою порт на аську и несколько человек выйдет в мир с одного ip и прота??

[iva]

Если можно попробуйте схематично изобразить сеть которую вы описали.