Hoi,
also ich würde auf dem physikalischen Interface oifach zwei virtuelle Interface machen, wobei das erste virtuelle Interface für extern und das zweite mit Alias für intern ist.
Danach kannst Du das mit dem Routing und mit dem Forwarding in der Firewall Konfiguration gescheit eintragen - dann sollte das auch gut tun. (NAT nicht vergessen, is klar)
Solange das nur ein Interface ist läuft das nicht wirklich optimalst bzw. man würgt sich mit den Rules en Wolf. Bei Zwei Interface (au wenn se nur virtuell sans) geht das wesentlich stressfreier. Es wäre auch einfacher wenn Du statt 192er einfach auf 127er gehst, das geht in der Praxis in so einem Fall besser und auch routingmäßig einfacher.
Eine Default Route braucht bei dem Fall nur der Mainhost - die Jails hingegen nicht. Wenn der Mainhost keine feste IP hat, sich quasi einwählt, sollte das Firewall Script zwei mal vorhanden sein. 1.) für Host ohne bestehende Verbindung - 2.) für Host mit Einwahl die besteht. Das ganze dann über die vorgesehenen Scripts steuern, dass die jeweiligen Rules pro Fall auch sauber greifen.
Gruß Bummibaer