>Если кратко, синтаксис pf можно описать одним словом - негибкий.
>
>Для интерфейса к любой сложной системе простота и удобство противопоставляются.
>Чем проще интерфейс - тем он менее удобен.
>Чем удобнее - тем больше нужно шевелить мозгами, чтобы понять его. Примеры:
>vim, emacs, awesome, xmonad. Но зато после определенного движения мысли, эффективность
>работы значительно возрастает по сравнению с простым интерфейсом. много чего в мире не гибкого, при том, что это совсем не характеризует не гибкий "предмет" как не соответствующий требованиям и функциям ему предъявляемым или в него залеженным.
да pf за счет синтаксиса скрывает тонкости реализации, и поэтому может не всегда понятно как он работает, пока не поймешь как же это будет на его языке.
iptables напротив нужно один раз понять, но понять так широко и с такими вытекающими, что написать правило будет гораздо сложнее нежели для pf и будет это гораздо трудоемней.
Вообще у этих двух fw много отличий. Ну вот например tcnm еще одно отличие iptables от pf это порядок правил или цепочек. в pf он строго задан разработчиком, в iptables наоборот ты сам себе хозяин.
с iptables - пока не проколешься не поймещь. с pf - это гораздо менее вероятнее ИМХО.