> Вообще то там таблицы делают тоже самое и точно так же, что
> и ipset. как раз нет. ipset намного более функционален, чем таблички в pf.
чего только стоит разнообразие типов(например, bitmap:ip позволяет хранить 65к адресов, потребляя всего 8Кб памяти) и expiration timeouts для записей.
>Вот только в pf они появились во времена когда
> ipset ещё только в проекте был, если не ошибаюсь, и точно
> до продакшена ipset'у были ещё годы и годы.
кому этот исторический дискурс интересен? на текущий момент pf всё так же живёт под одним большим мьютексом и не может использовать больше одного процессорного ядра для обработки трафика.
в это же время Кирилл Малеванов рассказывает про NAT на скоростях около 10Gbit/s используя vyatta(которая есть просто дистрибутив linux).