> Noooo! В бытность сетевиком всякие файерволы доводилось настраивать, страшнее iptables
> не было ничего.

я надеюсь, тебя уволили и больше ты к сетевому оборудованию не подходишь?

Справка: я настраиваю "всякие файрволы" двадцать лет. Включая всякие "next generation" за пару сотенок тысяч зелененьких. Лучше iptables именно с точки зрения того, кто настраивает, ничего не попадалось в принципе. Лучшие из коммерческих решений умели иерархические системы правил (но ни одно не умело полностью отделять nat от forwarding и использовать при этом одни и те же элементы в разных частях фильтра, дальше дерева с ветками у их разработчиков фантазия засбоила, хотя, казалось бы... В лучшем случае что-нибудь одно, и то не до конца.)

Пожалуй, опубликую свой топ наиболее уродливых:
1. безусловно и с огромным отрывом - *bsd ipfw. Так обожаемый админами локалхостов за свою "простоту". Распутать эту вермишель когда каналов, линков, уровней доступа становится больше одного они обычно уже сами не могут.
2. (open)bsd pf. Неудачная попытка "а сейчас мы всем покажем как надо". К счастью, сложные конфигурации на нем и не делают. Впрочем, простая внезапно становится сложной, если добавить туда, к примеру, ipsec. Не они одни вступили на эти грабли, но только им нужны были патчи ядра чтобы оно хоть как-то работало. Годами.
3. cisco pix v4 (нигде не используется, но, к сожалению, совместимость конфига сохранилась до 6, а может и до 7, не проверял) conduit. Громадный плоский лист правил, написанных задом-наперед. Удалять из середины можно, заменять нет (то есть даже визуальная структуризация невозможна).
4. cisco isr с ее идиотическими "inside global/outside local", нормально описанными только в документе 92го года, похороненном где-то в недрах сайта (во всяком случае, я его уже очень давно не могу найти) Кто, какой рептилоид вообще до этого додумался?
5. cisco asa - четырехуровневая inside/outside никуда не делась, но хоть синтаксическим сахарком присыпали, большая его часть не используется никем и никогда, но то что осталось, сильно упрощает чтение и понимание, если ты писал это сам. Если альтернативно-одаренный - все, разобраться невозможно, только реконструировать что же он на самом деле хотел и делать заново, правильно.
6. PaloAlto - прекрасная реализация dpi-based firewall совмещенного с бордером (и даже работает), но cli писал рептилоид, для использования непригоден в принципе, только задать начальный адрес, чтоб как-то зайти браузером.  К тому же их принято использовать кластером или вовсе распределенной сетью, а cli об этом вообще не в курсе. gui писал обычный индус, на 30" экране с 12ядерного компьютера с последним хромом можно пользоваться. Поэтому они проигрывают все тендеры, требующие визуальной демонстрации - пока их пресейл "щас, щас я покажу как это удобно и просто у нас..ой,не туда мышкой попал, подождите, сейчас, сейчас вот загрузится", продавец чекпоинта уже упрыгал с деньгами.

если эту шкалу считать приблизительно линейной - iptables будет где-то на 255м месте.