Почему?
Старый Linux firewalling код не работает с фрагментами, имеет 32-разрядные счетчики (на Intel по крайней мере), не позволяет работать с протоколами отличными от TCP, UDP или ICMP, и не может делать большие изменения atomically, не может определять обратные правила, имеет некоторые причуды, и может быть жестковат в управлении (что приводит к ошибкам пользователя).
Управление. Защита. Осторожность.
Управление:
когда вы используете Linux-машину для подключения вашей внутренней сети к другой сети (скажем, к Internet), то вы имеете возможность разрешить какой-то тип трафика и запретить какой-то другой тип. Например, заголовок пакета содержит адрес назначения пакета, так что вы можете предотвратить выход некоторых пакетов во внешнюю сеть. Еще пример: я использую Netscape, чтобы обратиться к архивам Dilbert. На странице размещены баннеры от doubleclick.net, и Netscape будет тратить мое время на их скачивание. Эту проблему можно решить сообщив пакетному фильтру, чтобы он не пропускал любые пакеты в или из адресов, принадлежащих doubleclick.net (хотя для этого есть лучшие способы).
Защита:
когда ваша Linux-машина - единственый заслон между хаосом Internet и вашей красивой, организованной сетью, хорошо знать, что вы можете ограничить то, что пытается пройти в вашу дверь. Например, вы могли бы позволить чему-нибудь выйти из вашей сети, но вас может беспокоить известный "Пинг Смерти", посылаемый подлыми злоумышленниками. Вот другой пример: вы не хотите пускать посторонних на telnet-порт вашей Linux-машины, даже если все ваши аккаунты имеют пароли; возможно вы хотите (как большинство людей) только просматривать ресурсы Internet, а не предоставлять сервис (так или иначе) - просто не позволяйте никому подсоединяться к порту; при наличии пакетного фильтра входящие пакеты, используемые для установки соединения, будут отклоняться.
Осторожность:
иногда неправильно настроенная машина в локальной сети может отправлять пакеты во внешний мир. Хорошо если бы фильтр пакетов дал вам знать, что происходит нечто аварийное; возможно вы захотите принять какие-то меры или только поинтересуетесь природой событий.