[FrIcE]

Ну от правил то же зависит, но я так понимаю сравниваются примерно одинаковый набор правил. (Хотя при хорошем процессоре, сетевухах и наличии большого объема памяти количество правил не так существенно). А вот про динамические правила, соглашусь что ресурсов надо больше, в первую очередь памяти, для поддержки таблицы состояний, но вот по скорости это быстрее обычных правил, потому как "таблица" состояний обычно является деревом и требуется всего несколько сравнений, чем проход в среднем половины правил (актуально, если число правил 20 и больше ).

На мой взгляд, лучше файрвол, который полностью работает на уровне ядра и управляется какой - либо утилитой, в этом плане хороши pf/ipfilter, на счет ipfw уже высказывался выше. На счет iptables незнаю, но если оно работает не в ядре (хотя судя по вышеприведенной цитате оно как раз живет в ядре), то потеря производительности и безопасности неизбежна.