Az oldSchool szemléletben is van igazság!, de sok helyen a megvalósítási lehetőség és a szemlélet nem tud találkozni.
Most már elég sok nagy gyártó határvédelmi eszközében is benne vannak a fentiek, ha nekik igy jó nekünk is jó.
Kockázat mindenben van, ennyi erőböl a konténerben futó megoldásból is könnyen ki lehet jönni.
Mi a saját megoldásunknál azért próbálunk figyelni arra hogy csökentsük a "kockázatot", minden FW-n külső szolgáltatást nyújtó daemon (SMTP, proxy-k) chroot-ban futnak.
OpenBSD-t elsősorban az egyszerűsége, stabilitása és PF miatt használunk, pl. redundáns, statefull (akár master-master) tűzfalpárost megbizható módon kb. 5 perc alatt lehet összerakni.
Egyenlőre mindent megtaláltunk rá ami kellett (max custom build), performancia problémák sincsenek, és atomstabil. jellemzően csak HW hiba szokott max gondot okozni (de akkor meg megáll, és lehet tudni hogy HW gond van :D)
PF szerintem a világ legjobb csomagszűrő megoldása, lehet hogy iptables-hez több a modul, de PF strukturája, tudása szerintem jobb, és használhatobb.
Jelenleg egyetlen gondunk az hogy általunk kedvelt Suricata IDS/IPS nem tud direktben PF-el kommunikálni, igy nem tudunk vele realtime csomagot eldobatni ha fogunk valamit, de lehet hogy vesszük megírjuk mit a PF portot hozzá.