Не все пакетные фильтры одинаково полезны :-) Поставьте отдельн(ую|ые)
машинку на openbsd, которая будет разруливать ограничения по скорости и
больше ничего делать не будет. У неё пакетный фильтр работает с большими
таблицами адресов/сетей очень хорошо. А ALTQ очень эффективно
придушивает именно исходящий трафик. Эту машинку можно даже бездисковой
сделать.
справедливости ради, стоит отметить, что pf уже вполне работает в современных
freebsd не менее хорошо. и altq душит исходящий трафик не менее эффективно :)
так что если nginx на фре, то может быть удастся обойтись и одной компушкой.
