> Скажите, а часто вы на интенсивном трафике пользуетесь scrub & state modulation?
> Да и пересборка пакетов - вещь затратная как по памяти, так и по cpu.Стоять. Вопрос был в возможностях пакетных фильтров.
Так что не надо увиливать. Аналоги в студию.
> А вот куда более жизненное DSCP матчить/выставлять - это да, не умеет pf.
Матчить умеет ALTQ, коему это, вообще говоря, и надо делать. А _выставлять_ DiffServ CodePoint пакетный фильтр вообще не должен, он _не_ генерирует TCP/IP-траффик.
> Как и не умеет от SCTP, который во всю уже используется вменяемыми людьми.
PF разрабатывается совместно с TCP/IP-стеком *BSD. А у *BSD с SCTP пока не всё ладно, что уж тут поделать. Только вот насчёт "вовсю" -- это явный перегиб. ;)
> И ECN не умеет, и по длине пакета матчить не может...
ECN тоже поддерживается в ALTQ, пакетному фильтру он плоскопараллелен. А за длину пакета -- не менее "полухакерская штучка" (C).
> 7206 - откровенное г-но.
Аминь! (C)