Eu nem sabia que existia um kernel nat (natd replacement) até hoje à noite. Meu natd está usando quantidades estúpidas de ciclos de CPU, mesmo quando quase não há tráfego. Parece que você precisa controlar cuidadosamente o tipo de pacotes que passam por natd para evitar essa alta cpu. E isso depende da natureza do seu ambiente quanto às regras do ipfw para evitar que o tráfego indesejado seja desviado para o natd.
Não consigo encontrar um conjunto de regras simples que não cause problemas para mim. Eu suspeito que é porque eu tenho cadeias rodando em IPs de LAN, e isso gera tráfego através do natd. Então, agora estou fora para aprender ipfw + kernel nat.
O manual realmente só precisa mencionar isso, até mesmo um one-liner seria o suficiente para começar.