ipfwはロードされた瞬間に有効になってた。
http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/netinet/ip_fw_pfil.c?rev=1.28;content-type=text%2Fplain
の int fw_enable = 1;

なので、loader.confに書くのが正解。