Jail сетевые интерфейсы

Всем добрый день.
С определенного времени столкнулся с теорией что не понимаю как работает networking в JAIL )).
Столкнулся с ситуацией когда
1. Есть машина функционирующая как роутер с несколькими интерфесами. Соответсвенно один Internet Public (сеть 16 IP адресов назначены 2 адреса - один внешний основной, другой для JAIL, физический интерфейс один), второй интерфейс - внутренняя сеть.
2. Есть JAIL с прописанным внешним IP только. В

4. Теперь, на основном внешнем IP адресе есть PF rdr нескольких портов на сервер внутри сети.
Теперь несколько вопросов.
1. Почему JAIL, у которого нет назначенного внутреннего IP имеет доступ к внутренней сети, идут пинги, соединения на серверы внутренней сети ( по моему разумению, JAIL не имеет собственной сетевой инфраструктуры и все пакеты роутятся на уровне родительской системы, а соответсвенно JAIL в любом случае доступны все IP адреса родительской системы)
2. Почему если JAIL лезет на внешний основной адрес на порты которые перекидываются на внутренний сервер - получаем в ответ Connection refused. Причем pflog и tcpdump не регистрируют block пакета?

ПыСы. Мне важна теория работы JAIL