Новичка iptables можно научить за то-же время и на таком-же уровне. При этом я не считаю, что фаерволл можно толком изучить за час-полтора. Основы - да, можно. Что-то более сложное - нет.По теме, почему я предпочитаю iptables.
Во FreeBSD всё наглядно, да. Но только на первый взгляд. Стоит попробовать настроить закрытый по умолчанию фаерволл с NAT, и который должен пропускать через себя PPTP-соединения, FTP-трафик и т.п. Вот тут-то и начинается головняк. Нетехнологичность проявляется сразу же: здесь входящие, исходящие и маршрутизируемые пакеты, NAT и QoS свалены в кучу! Особенно долго приходится разбираться с тем почему не проходят определённые пакеты при наличии NAT: нужно прописать разрешающее правило на вход в интерфейс, разрешающее правило на выход из интерфейса, разрешающее правило на вход в divert-сокет, разрешающее правило на выход из divert-сокета, настроить перехват пакетов которые должны попасть в divert-сокет, настроить сам divert-сокет. Вкупе с примешанными в этом же файле правилами QoS это становится ещё сложнее. Настройка нормально работающего FTP - вообще песня.
Мне попадались уже настроенные фаерволы во FreeBSD. Разобраться в них на уровне "добавить ещё одно разрешающее правило" можно. А вот понять как работает ВСЁ это хозяйство на несколько килобайт становится сложновато. Если же учитывать вольность синтаксиса (определение переменных в тексте фаервола) разобраться в написанном кем-то фаерволе становится практически невозможно.
Для сравнения, в iptables одна таблица для форвардящихся пакетов, одна таблица для пакетов попадающих в систему, одна таблица для пакетов, выходящих из системы, одна таблица для SNAT, одна для DNAT. Для поддержки FTP есть модуль ядра, который заглядывает в управляющую сессию и добавляет в таблицу установленных соединений запись для сессии данных. QoS отдельно, маршрутизация отдельно. Причем фаерволом можно помечать пакеты, QoS будет реализовывать политику для этих пакетов, маршрутизатор выбирать одну из НЕСКОЛЬКИХ таблиц маршрутизации. Если придерживаться правил загружать и сохранять фаервол средствами iptables-save iptables-restore, то разобраться в чужом фаерволе значительно легче.
Далее, если отклониться от темы фаерволов, можно сравнить как происходит латание дыр в сервисах или установка новых программ во FreeBSD и, например, Debian.
Во FreeBSD если ты полгода-год где-то был, не обновлял систему и порты, то потом тебе для установки новой программы нужно будет скачать (или обновить через CVS, не суть важно) дерево исходников системы и новые порты. Затем перекомпилить ядро и систему, при учёте нестандартного конфига ядра. Потом несколько перезагрузок, чтобы проверить как работает новое ядро и окружение системы. Потом перекомпилить все установленные порты с помощью portupgrade (а что если она не была установлена - откуда её взять?). Потом ставить новую прогу. При этом компиляция будет происходить на рабочей машине, ухудшая качество обслуживания пользователей, или удалённо по NFS, лишая админа удобств.
В Debian:
apt-get update
apt-get upgrade
apt-get install что-нужно
Если обновилось ядро, то перезагрузиться.
Если сервер один, денёк ещё можно поплясать с бубном, ничего не случится. Если серверов с десяток - будешь плясать с бубном неделями.
Я НЕ противник FreeBSD, я НЕ говорю, что FreeBSD сосёт. Мне эта система нравится, но я предпочитаю тратить своё время с пользой для себя, а не для системы.
Не надо всё переводить на религиозную войну FreeBSD vs. Linux. Я никого не хочу оскорблять. Просто прежде чем спорить что лучше, стоит ознакомиться и с тем и с другим и выбрать для себя что-то, что больше подходит. При этом не стоит поливать помоями того, кто выбрал что-то другое. Вам нравится FreeBSD? Это Ваш выбор. Мне нравится и то и другое, но я выбрал Debian, это мой выбор.
Прошу прощения за столь длинный коммент.
