Цитата mar:
Если серьезно: ipfw все-таки, наверное, имеет отношение к безопасности firewall-а, а не web-сервера, который чаще всего лучше бы от греха подальше все-таки держать за этим самым firewall-ом. Для задач, решаемых ipfw лучше ipfw, наверное, может быть портированный из openBSD pf.
Плюcом BSD-ых pf/ipfw является скорость (поскольку работает все это на уровне ядра). Плюсом linux-ых firewall-ов является навороченность (iproute2), позволяющая делать очень сложные (и не всегда нужные для работы с web-сервером из нашей темы) пассажи.
|
Поправка на счёт скорости: у ipfw есть один существенный недостаток - NAT, который работает через демона режима пользователя, что также уменьшает быстродействие, но в pf(и в ipfilter) NAT производится уже в ядре, поэтому можно сказать, что pf быстрее ipfw.
На счет навороченности: сомневаюсь, что pf не умеет делать чего - то, что умеют линуксовые файрволы (в частности роутинг, нормализация трафика, очереди, поддержка ALTQ и т.д.), не зря ж его ставят на один уровень с коммерческими файрволами от SUN, IBM и прочими.
