OpenBSD 由来のパケットフィルタである pf が 5.x 系では利用可能になっているので、昨日は体調も良くなかったのでコタツに潜りながら PF:OpenBSD パケットフィルタ を読んでみました。

• ipfilter のライセンス問題で作られたため、文法は ipfilter 互換
• マクロ変数などが使えるので ipfilter よりすっきりしたルール記述が可能
• ALTQ も 5.x 系では使える*1ので、ipfw+dummynet 相当のことができそう

なので、今まで ipfilter を使ってきた我々は容易に移行可能かも。次のサーバで試してもらおうっと。