Em minha humilde opinião: OpenBSD + PF. Trabalhei com o ipfw e sinceramente, você ter que usar divert pras regras de nat é muito chato.
No PF o nat é feito dentro dele mesmo, ao invés de direcioná-lo a um processo externo. Outra, quando você tem que carregar uma regra nova no ipfw, todas as regras são descarregadas e carregadas novamente, o que, dependendo to tamanho dos arquivos de regra do teu firewall, pode ser bem chato. No PF você pode manipular objetos (adicionar, remover, alterar) "on the fly". ;) Sem contar que a sintaxe do PF é, em minha opinião, a mais elegante, clara e fácil de entender. Tentei estudar iptables, mas a sintaxe é muito complicada... se você ficar um dia sem mexer nas regras de um firewall com iptables, quando tem que trabalhar com ele vem sempre a pergunta "O que que isso faz mesmo?" heheheheh. Uma das coisas que mais prezo em ferramentas que lidam com segurança é a facilidade de uso. Quando o negócio é muito complicado pras coisas simples, os erros tendem a surgir logo. Atualmente estou começando a mexer com FW-1 (comercial). Ele tem muitas características boas, mas - como quase todo produto comercial - tem umas coisas que achei desnecessariamente complicadas, mas no geral é um bom firewall. []'s -- No stupid signatures here. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
