Ich verwende auch den von Valentin erwähnten W500V (gibts übrigens günstig bei Pollin) mit der Firmware "Bitswitcher", allerdings nicht als Firewall sondern als VPN-Gateway.
Wie bei den meisten (oder allen?) Linux-basierten Routern ist auch hier iptables vorhanden, eine vollwertige stateful Firewall, die man (spätestens nach aufspielen einer modifizierten Firmware) gemäß eigenen Wünschen konfigurieren kann. Das funktioniert auch bei den Fritzboxen (original und umgelabelt) und den Linux-Varianten der Linksys-Router.

Btw. was meinst du mit Dienste und Benutzer konfigurieren? Portbasiert - Kein Problem. Wenn du aber Inhaltsbasierte Filter wünschst, brauchst du wohl mächtigere Systeme (Stichwort Deep Packet Inspection), es gibt wohl auch einige für Linux, wie ausgereift die sind, kann ich allerdings nicht beurteilen. Und Benutzer hast du auf dieser Ebene gar nicht, höchstens du möchtest ein IP-basiertes Accounting durchführen ...

mfG
Markus