Это да. Причина побудившая попытаться перейти на линукс — намного более удобный файрвол, чем ipfw, хотя наверное это дело вкуса.
Но лично у меня опыт использования ipfw довольно большой и пощупав и понастраивав iptables, понял что iptables в сто раз более прозрачный и простой в конфигурации.
Поскольку вланов достаточно много, хотелось бы избавиться от необходимости включать на всех интерфейсах шейпер, к тому же нужно высчитывать на каком интерфейсе висит абонент, чтоб не заставлять ядро искать пользователя там где его нет.
Ещё где-то читал, что может быть не более 255 маркировок, хотя может это в старых ядрах было.
