>1) Быстрее, так как не требует дополнительного сканирования логов и работает на
>уровне PAM
Оно не сканирует логи, а слушает pipe в syslogd
>2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего
>дополнительного не запускается
Оч. спорный вопрос. Требует наличия PAM авторизации в используемом сервисе.
>3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные
>компоненты (ndbm для хранения таблиц и конфигов, например)
Конфиги хранятся в текстовом файле, таблицы - в ipfw. Работа на любой posix (кстати, я не уверен, что pam описан в posix) мне просто не требовалась
>4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных
>задержек впоследствии. Далее поиск правила происходит очень быстро по хешу.
Простите, какой lookup? никакая работа с dns не производится. скорость поиска во внутренних структурах настолько быстр, что делать хеш я не вижу смысла. Как и не вижу проблем его  сделать в случае необходимости.
>5) Корректно работает с любыми адресами (не только IPv6 и Ipv4), правда
>маска поддерживается только для последних двух. Т.е. её можно использовать с
>любыми сетевыми протоколами (даже самопальными, если они корректно интегрированы в стек)
Данная задача не была для меня актуальна. Да и что значит "корректно интегрированы в стек"?
>
>6) Может работать вообще без firewall и с firewall не поддерживающем таблиц
>
>7) Работает с абсолютно любыми сервисами (т.к. через PAM).
В случае если сервис обращается к PAM. Вот вам пример ситуаций при которых не происходит обращения к PAM:
http auth, подбор пользователей в rcpt-to, пользователи ssh которых нет в allow users... Уверен, что таких ситуаций превеликое множество
>
>---------------------------------------------------------------
>Пример настройки для FreeBSD:
> # pam_af_tool ruleadd -h '*' -a 15 -t 4y
> # pam_af_tool ruleadd -h localhost -a unlimited -t 0
> # pam_af_tool ruleadd -h 124.45.34.2/21 -a 8 -t 16H23M12S
> # pam_af_tool ruleadd -h 207.46.0.0/16 -a 5 -t 15H -l '/sbin/ipfw
>add
>            
>100 deny all from $PAM_RHOST to any'
>
>И всё! Никаких демонов etc..
Я не вижу каким образом правило с ipfw исчезнет через n минут. И кроме того, я считаю, что таблицы в данном случае много уместнее. Дополнительно я хотел бы подчеркнуть, что я совершенно не умаляю достоинст вышеописанной тулзы, просто я считаю, что у них несколько разная идеология, и как следствие - область применения.