> Я что-то вообще перестаю Вас понимать. pf - NAT + FW. Или
> что изменилось в политике партии?Да, pf, carp+pfsync. А еще желательно ALTQ. pfsync&ALTQ требуют пересборки ядра.
> Вроде бы одной или несколько машин в связке должно хватить для указанной
> Вами задачи.
HA = high availability. Одной машины определённо не хватит, т.к. железка может выйти из строя.
> Обновления в этом случае штатны, лучше через песочницу, конечно.
Я не спрашивал "как это обновлять?". Я просил назвать временные затраты на этот процесс.
> Другой вариант - взять аппаратную железку (или несколько) от CISCO для решения
> этой задачи.
Если вы про cisco asa, то нам понадобятся 2 железка(мы же строим HA?)
И чем она лучше 2х серверов с FreeBSD/Linux?