AK> После диверта, контроля ipsec'а, антиспуфинга и нескольких интерфейсов с AK> разными задачами - оно совершенно перестает быть таким простым и логичным.
И вовсе он не перестает быть простым и логичным. Hужно просто в большинстве случаев смотреть не в ipfw show, а в исходный код с правилами и в лог рестарта на предмет ошибок синтаксиса. А в show смотреть имеет смысл в совсем небольшом количестве случаев, большая часть которых - поглядеть счетчики на правиле. И то лучше добавить отладочное правило count log и смотреть в /var/log/security.
Hадо понимать, что ipfw это ассемблер, и читать лучше исходник. При этом ipfw как ассемблер достаточно мощен и позволяет скриптовать проблемно-ориентированные высокоуровневые обертки.
Eugene -- Смотри, но не смей трогать --- slrn/1.0.1 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)