> Пробовал и то и другое, всё что мне нужно осилил.

видимо, тебе не очень много было нужно.

Рассказ про "20-30" правил как бы намекает нам, да.

root[1522]/# ipfw sh|wc -l
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
      42
- давно уже почти неживой сервер с минимальной нагрузкой, ни форвардинга ни сложных правил.

> Мне вот лично не нравятся *дефолтные* правила ipfw

у ipfw одно-единственное "дефолтное" правило:
65535  deny ip from any to any
(ну или allow, если по другому собрать)

Мне вот лично не нравится что ты не сможешь описать приключения ip-пакета пришедшего в ipsec-сессии на натящий хост в обоих вариантах - и хаотичное гугление тебе тут не поможет.

> Вообще, если кто-то озадачен секурностью, то он мониторит репу исходников

это пройдет, когда ты кончишь школку и пойдешь на работу. Тебе просто некогда будет заниматься такой хренью как "мониторить репу" наперегонки с другими школьниками - ищущими чего поломать.

И ты будешь очень признателен тем, кто предоставляет автоматические апдейты отдельные от автообновления чего ни попадя. И это ни разу не преимущество freebsd, у нее все максимально криво и неудобно - наследие времен васянских пересборок на каждом локалхосте.

> Вот где реально проявляется красота фряхи - не надо ждать чьих-то билдов

ну конечно, достаточно подождать пока оно соберется у тебя, Васян.
Не хотелось бы тебя огорчать, но что-то сам собрать ты сможешь только когда кто-то (и это явно не ты) - починил, потестировал, и выложил. В большинстве разумных систем при этом автоматически выкладывается и бинарник. У фряхи в общем-то тоже, последние лет десять, но небыстро из-за необходимости пересобирать world вместо отдельного бинарника.
Но ты продолжай, продолжай греть планетку.