>[оверквотинг удален]
>>я был вынужден полюбить сначала ipnat, а потом собственно pf.
>
>ng_nat действительно появился в 6.0. До этого, да, только ipnat/pf для ната
>на уровне ядра.
>
>>Но даже данная поправка
>>не меняет того, что единственным плюсом ipfw является лишь то, что
>>освоиться в нём чрезвычайно просто,
>
>Это уже немало :-) _IMHO_, если освоиться с iptables, с ним работать намного проще.
>
>>Просто я не встречал более мощного firewall-а чем
>>iptables, зато встречал множество людей, которые его не осилили и поэтому
>>на него ругались.
>
>Возможно, это так...
>Просто у меня пока не возникало потребностей, где бы можно было использовать
>мощь iptables, а порог вхождения действительно высоковат...
>Если поделитесь примерами, что на ipfw решить невозможно/сложно, а на iptables возможно/проще,
>буду благодарен. Без иронии.
Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации в 2 строчки, а в ipfw я могу представить его реализацию только с использованием внешних утилит. Хотя, возможно, я ещё много чего не знаю о современном ipfw, конечно...
Ну или если хочется сделать VPN-роутер предоставляющий доступ в Интернет, который автоматически банит спамеров (речь про спам по SMTP инфицированными компьютерами). В iptables данная автоматика делается в 3 строки используя recent и hashlimit. Как сделать в ipfw я тоже себе не представляю.
Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это в ipfw?
На самом деле, когда есть iptables, даже fail2ban нафиг не нужен, обычно :)
Примеров тонны. И не просто эзотерические примеры, а тех приёмы, которые мне уже пригождались в тех или иных целях.
И я не пытаюсь доказать, что iptables лучше. Просто призываю одного автора не называть iptables кривым, предлагая взамен ipfw.