iptables with POM
ну что тут скажеш? по-моему умеет всё и ещё чуть-чуть

Не уверен, что могу отнести себя к спецам (пока   ). Однако...  IPF.
[+++]
1. Логичность построения правил
2. Быстродействие
3. Существует практически под все nixы

[Возможности]
1. Прозрачная фильтрация
2. Балансировка нагрузки
3. Обнаружение FIN-сканирования


[P.S.]
Я не стану утверждать, что ipf лучше или хуже других. Так уж получилось, что использую я именно его. Возможности позволяют легко реализовывать мои задумки.

2Phoenix
Мне приходилось слышать, что в ipfw возникают проблемы с производительностью (вплоть до отбрасывания пакетов по тайм-ауту) при наличии достаточно большого числа правил, которые должен пройти пакет. Это действительно так?

Не уверен, поскольку информация получена от весьма грамотного человека, который хорошо знает BSD (и не только). Насколько я его понял, проблема связана с алгоритмом обработки пакетов в ядре.

ну, у меня не слишком большая цепочка правил - не более сотни, да и наиболее чвасто срабатываемые правила находятся выше.
по поводу производительности ipfw были замечания в хендбуке, сам с подобными проблеммами не сталкивался.

И еще вопрос - порекомендуйте наиболее информативный и без лищней воды источник информации по ipfw (Google не предлагать - времени нет на просмотр множества документов).

в буркмарках хзавалялись следующие ссылки:
1
2
3

кстати вот тут именно, пара слов про производительность ipfw в FreBSD
link

Phoenix, спасибо за ссылки - весьма интересно.
А не попадалось чего похожего на  эту статью, но для ipfw?