>>Особенно ярко преимущество такого подхода проявляется когда нужно поменять адреса в настройках межсетевого экрана, число правил в котором исчисляется сотнями.Видать человек не в курсе, что можно использовать переменные, например я уже лет сто в ipfw использую конструкции вида:
fwcmd="/sbin/ipfw"
# Interface ROSTELECOM
oif="xl0"
# Deny Win
${fwcmd} add 101 deny udp from any to any dst-port 137,138 via ${oif}
${fwcmd} add 102 deny tcp from any to any dst-port 139,445 via ${oif}
# Deny CUPS
${fwcmd} add 103 deny tcp from any to me dst-port 631 via ${oif}
# Deny PGSQL & MYSQL
${fwcmd} add 104 deny tcp from any to me dst-port 5432 via ${oif}
${fwcmd} add 105 deny tcp from any to me dst-port 3306 via ${oif}
....
${fwcmd} add 500 deny tcp from any to me dst-port XXXX via ${oif}
Меняем имя интерфейса в одном месте и все.
А в остельном CLI рулит, но с той лишь оговоркой, что он должен быть хорошо продуман и удобен, как у Cisco например :)