>IP Tables _сильно_ хуже PF'а, но это из-за самой архитектуры IP Tables.
>Слишком много точек входа в ядро, код перегружен и глючит.
>Да, PF умеет фильтровать только IP-пакеты. Про Ethernet он ничего не знает,
>по MAC-адресу им не зафильтруешь. Ну и пёс с ним. Зато выдержки из man iptables
mac
--mac-source [!] address
Match source MAC address. It must be of the form
XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets
coming from an Ethernet device and entering the PREROUTING, FOR-
WARD or INPUT chains.
>у PF есть таблицы. _Нормальные_ таблицы, обновляемые из User Land на
>лету, и поиск по которым осуществляется по RADIX Tree, а не
>по линейному списку. PF умеет якоря (anchors), и несколько программ, модифицирующих
>правила пакетного фильтра, _никогда_ не подерутся.
Так же неверная информация.
Не стоит забывать, что дропать покеты с бОльшей производительностью можно с помощью iproute
>Но пакетный фильтр -- это не то, за что идёт борьба на
>роутере. На роутере идёт борьба за пакетную производительность. А она достигается
>использованием либо ASIC'ов, либо NPU. Period.
Т е вы утверждаете что пакетный фильтр слабо влияет на "пакетную производительность"? Это мягко говоря неверно 8-).