Ура, в топку хоровод из фаерволов нашел как заставить freeradius (а у меня mpd через него аутентификацию получает) писать в логи IP-адрес клиента. Потом прикручу к этому fail2ban и дай бог чтобы ресурсов хватило парсить все эти логи. :D Опять же не совсем тема топика но если у кого-то вдруг цепочка ...

Хех. А есть вообще опты использования ipfw и pf одновременно? Как они уживаются, есть ли какие-то несостыквки?

Господа извеняюсь за откапывание стюардессы, но хотелось бы поднять тему.
И так может кто-нибудь все-таки подсказать как сделать на ipfw такое:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name ...