ikesan ともうします。 少しだけ補足を…
TCP/IP階層とフィルタリング・アプリケイション † アプリケーション層 Proxy 処理は低速, CPU、メモリ資源は必要 トランスポート層 TCP/UDP ipfw 処理は中速, CPU、メモリ資源は多少必要 ネットワーク層 IP ipf 処理は高速, CPU、メモリ資源は少なくても良い データリンク層 Ethernet,MAC address 物理層 ipfw、ipf どちらにも natdが内臓されています。 どちらを使うにしてもカーネルの再構築が必要です。 ipfはipfw よりも細かく制御できます。 主な特色といえると思います。