>Если не умеешь использовать Iptables (а если уж говорить правильно - netfilter), >то это вовсе не значит, что он плох. Что-то я не >знаю таких задач, с которыми PF справляется лучше netfilter. И не >надо мне говорить про производительность. Если функциональность netfilter урезать до функциональности >PF, еще не известно кто производительнее будет. А там где РЕАЛЬНО >нужная высокая производительность софтовые решения в читом виде всеравно не применяются. Скорее PF нужно урезать до функциональности iptables. PF и iptables -- это как Opera и Firefox. У первого "все включено", а второй нужно обвесить модулями, чтобы добиться даже минимального результата. PF имеет хороший, годный язык правил (в отличие от идиотизма с getopt_long() в iptables) и работает с таблицами IP без out-of-kernel патчей к ядру (ipset). Производительность pf и iptables сравнивать не совсем корректно, т.к. iptables делает statefull inspection только при установке соединения, а pf -- для всех пакетов.
|