>Это всё ИМХО, никому ничего не хочу навязывать, просто ещё одно мнение. На самом деле, впервые прозвучали те соображения, из-за которых я сам считал
или продолжаю считать фрю незаменимой на провайдерском роутере :-))
САМОЕ ГЛАВНОЕ: ipfw tables для разрешения и шейпирования произвольного набора адресов одной командой!
В iptables есть ipset, но в большинстве дистрибутивов он в ядро не входит.
Во-вторых, mpd для VPN-сервера, особенно с патчами от foggy.
device polling - незаменимая штука при нагрузках от 40мбит/с и выше.
в Линуксе его умеют(умели?) делать только Интелы и 3COM.
Зато в Линуксе (пока?) не возникало такой вот фигни с гигабитными Интелами:
http://lists.freebsd.org/pipermail/freebsd-bugs/2006-Septemb...
Остальное менее однозначно.
ng_netflow - приятная вещь, но не более того.
В iptables ULOG работает только в одну сторону, из kernelspace в userspace (как tee во фре),
поэтому в отличие от divert'a не требуется переключение ядро-процесс-ядро для каждого пакета
и возможна полноценная буферизация.
ng_nat - в Линуксе NAT всегда был ядерный как модуль к iptables. выбор опций у линуксового побогаче.
ng_car - tc его не заменит?
ng_bpf - это для того, чтобы tcpdump смотрел пакеты через файрволл? в линуксе есть ulogd-pcap.
Рад буду быть опровергнутым или уточнённым по существу вопроса :-))