Spravne je:
IPTables furt sto let za Packet Filter!
PF je viac intuitivne a rychlejsie. Pri vacsich projektoch s tisickami pravidiel je rozdiel citit, kde Packet Filter(pf) pri jeho jednoduchosti je menej nachylny na chybovost a lahsie sa dohladava ake pravidlo sa pouzilo a preco.
PF = packet filter. pokud Vam to docvakne, tak Vam bude jasne na jake vrstve to funguje. Duvod je prosty, delat inspekci dat je problematicke z ohledem na bezpecnost. Staci prozkoumat bugy na iptables na L7, tcpdump ci wireshark a uvidite, ze bezpecne prohlizet data neni jen tak. V OpenBSD se rozhodli, ze to proste do nastroje, ktery je v kernelu nepatri. Kdo chce delat L7 filtering, muze vyuzit divert sockets a zkoumat to v user-spacu, coz samozrejme bude pomalejsi. Mozna neni na skodu precist si neco o orientaci projektu a pochopit "politicke" rozhodnuti v OpenBSD.