Он имеет в виду, что NAT engine для входящих пакетов сначала ищет существующий максимально специфичный стейт и если он есть, то транслирует пакет по нему. Таким образом, трансляция для ответов на запросы из локалки будет выполнена. И только если такого стейта нет, трансляция идёт по менее специфичному стейту, созданному статическим правилом форвардинга портов, в котором не специфицирован порт источника. И вот NAT теоретически мог бы на этом этапе проверить, а не равен ли порт источника 53 в случае udp и если да - выпустить пакет без трансляции и тогда он доставился бы локально.

Практически ipfw nat такого не умеет.