да я, вобщем-то, о команде добавления в таблицу.
это ipfw - специнтерфейс.
Каждый ИПшник добавляеться _отдельным_ процессом ipfw.
Может на деле оно и пофигу, но все же технически не оптимально.

Линух. Как аналогичный пример, модуль iptables recent.

# iptables -I INPUT -i w0 -m recent --name bad_guys --rcheck -j DROP

(clear - спец команда очистки таблицы. Опционально :)
# cat bad_guys.txt
clear
1.2.3.4
5.6.7.8
9.10.11.12

# while read ip; do echo $ip > /proc/net/ipt_recent/bad_guys ; done < bad_guys.txt
(вот это все происходит в текущем процессе bash, без создания новых процессов)
(echo - встроенная команда bash, если кто не вкурсе ;)

можно посмотреть содержимое:

# cat /proc/net/ipt_recent/bad_guys
src=1.2.3.4 ttl: 0 last_seen: 4358612828 oldest_pkt: 1 4358612828
src=9.10.11.12 ttl: 0 last_seen: 4358612828 oldest_pkt: 1 4358612828
src=5.6.7.8 ttl: 0 last_seen: 4358612828 oldest_pkt: 1 4358612828

кроме того, с этими таблицами recent модуля можно работать прямо из фаервола,
динамичиски пополняя ее или удаляя IP адреса ;)
- динамичиское добавление (пример из мана :)
# iptables -A INPUT -i w0 -p tcp --dport 139 -m recent --name bad_guys --set -j DROP
все, кто ломиццо на 139 порт автоматом попадают в black list

- динамичиское удаление:
# iptables -A INPUT -i w0 -p udp --dport 34097 -m length --length 500 \
                    -m recent --name bad_guys --remove

кто владеет тайным знанием, тот пошлет UDP пакет длинной 500 байт на спец порт и будет разблокирован :)
для остроты ощущений можно добавить проверку по содержимому пакета и т.д.

Не флейма ради, но правды для, хоть пофлеймить и люблю ;)
Сильна ли BSD подобными средствами?
Их маны читать влом, да и вряд ли прочуствуешь все не попробовав.
А вот посмотреть готовых команд знающих людей - было бы нагляднее.

пардон, не согласен.
"Все - файл" - одно из утверждений UNIX-вейа.

в iptables/recent таблица IPшников - файл. А в BSD - внутреняя сущность ipfw.

ну, фантазия у Вас на высоте.

1. Почитайте что такое UNIX: http://ru.wikipedia.org/wiki/Unix
......
"представление устройств и некоторых средств межпроцессного взаимодействия как файлов;"
.....

Сеть - это средство межпроцессного взаимодействия когда процессы на разных компьютерах.
Таблица работы с адресами сети - отлично подходит под определение
"некоторых средств межпроцессного взаимодействия"

2. Даже если это _и_ Plan9-way - не вижу проблем. Одно другому не мешает.

>А unix-way - это решение
>сложных задач через множество простых средств.

а это тоже присутствует. Очень простые команды echo/cat - рулят таблицями IPшников.
Бинарь ipfw - тяжело назвать простым средством, ровно как и iptables.
Но тут пока так (хотя в идеале и iptables можно было бы заменить на управление через echo/cat).

Но все же в BSD таблицами приходиться тоже управлять этим не совсем простым бинарем.
В линухе это делаеться простыми командами.

Вы сами себе противоречите.

я смотрю, мы с Вами на разных ядыках говорим...

по мне, так нет ничего проще впринципе, чем open(2)/read(2)/write(2)

в ядре же все тоже очень стандартно. Минимум кода:

static const struct file_operations recent_fops = {
        .open           = recent_seq_open,
        .read           = seq_read,
        .write          = recent_proc_write,
        .release        = seq_release_private,
        .owner          = THIS_MODULE,
};

определяеться небольшая функция recent_seq_write (ну, для изменения таблиц) - 54 строки с определением. И там весь парсер.
Вот это я называю ПРОСТО.

Поинересуйтесь структурой "ipfw table xxx" функций. Сколько нужно изменений в каких-то структурах если че-то нужно будет изменить?

Либо вы все же не о том...

Это всего-лишь user-level тулза. Ей еще нужно поведать полученную команду ядру через
интерфейс ioctl/ipfw. А в ядре еще нужен код, чтобы принять и проверить эту команду.

В iptables/recent эта функция-парсер - уже внутри ядра и складывает отпаршенные ИПшники
сразу в свой внутренний массив.

Вот ЭТО я называю оптимальность.

А касательно гибкости: если нужно добавить еще одну команду работы с таблицами, например...  ээээ...   удалить все ИПшники, которые попадают в заданную сетку ;)

Для iptables это было бы еще несколько строк кода в парсере ядра и все.
А формат вот такой:
# echo del 72.56.84.0/24 > /proc/......

В ipfw придеться править и бинарь, и заголовки и ядро...

Все еще не видите преимуществ универсального UNIX-подхода iptables? ;)

Зато это много проще в реализации, да и Plan9-way тоже неплохо ;)
если даже не лучше чем UNIX-way :)

Да, я это читал

ну, по этому критерию команде echo 5 с плюсом,
ну а ядру чуть меньше ;))

зато все равно, ИМХО, подход у iptables лучше

"Just for fun" by Торвальдс:

"Уродство, когда для любого действия у системы есть специальный интерфейс. В Unix - все наоборот. Она предоставляет строительные блоки, из которых можно создать что угодно. Вот что такое стройная архитектура."

Извлечь/Добавить IP адреса в ipfw table можно лишь через спец-интерфейс... ;)))

А если следовать UNIX-way здесь - то самое простое действие для того чтобы увидеть список адресов - это сделать cat из файла, а вот файлом может быть уже что и посложнее чем plain файл. Или есть что-то более простое в UNIX определениях?

iptables/recent как раз это и есть, самое простое, без спец интерфейса ;)