Hmm, entweder stehe ich auf dem Schlauch, oder ich vestehe nicht, warum es ein out sein sollte.
Also das icmp Paket kommt aus dem Internet über $if_newras rein. Die Rule dazu:
pass in on $if_newras all tag NEWRAS
Dann geht das Paket über das Interface $if_dmz an den Host. Passende Rule dazu...