LINUX.ORG.RU

История изменений

Исправление targitaj, (текущая версия) :

Ну есть Сеть со всем содержимым. Если локальные сети. Есть всякие DMZ и прочие спец. «области». Бывают хосты, к которым есть особое отношение. Например, с них/к ним разрешено/запрещено. Или forward на них/с них. Количество таких вариантов может быть довольно большим, но оно явно конечно. Соответственно, возможно группировать. Далее, имеются соображения по поводу скорости обработки правил iptables, что означает, что дробить группирование очень сильно не нужно. По идее, должен быть баланс. Я так полагаю, это какая-то математическая задача, но моё образование не позволяет мне её распознать. Речь идёт об использовании в iptables на узловых сетевых машинах.
Неужели нет фундаментальных наработок по этому направлению?
Вспомнил сейчас слова «множества» и «подмножества». Которые могут пересекаться, а могут и не пересекаться.

Исправление targitaj, :

Ну есть Сеть со всем содержимым. Если локальные сети. Есть всякие DMZ и прочие спец. «области». Бывают хосты, к которым есть особое отношение. Например, с них/к ним разрешено/запрещено. Или forward на них/с них. Количество таких вариантов может быть довольно большим, но оно явно конечно. Соответственно, возможно группировать. Далее, имеются соображения по поводу скорости обработки правил iptables, что означает, что дробить группирование очень сильно не нужно. По идее, должен быть баланс. Я так полагаю, это какая-то математическая задача, но моё образование не позволяет мне её распознать. Речь идёт об использовании в iptables на узловых сетевых машинах.
Неужели нет фундаментальных наработок по этому направлению?
Вспомнил сейчас слова «множества» и «подмножества». Которые могут перекрываться, а могут и не перекрываться.

Исходная версия targitaj, :

Ну есть Сеть со всем содержимым. Если локальные сети. Есть всякие DMZ и прочие спец. «области». Бывают хосты, к которым есть особое отношение. Например, с них/к ним разрешено/запрещено. Или forward на них/с них. Количество таких вариантов может быть довольно большим, но оно явно конечно. Соответственно, возможно группировать. Далее, имеются соображения по поводу скорости обработки правил iptables, что означает, что дробить группирование очень сильно не нужно. По идее, должен быть баланс. Я так полагаю, это какая-то математическая задача, но моё образование не позволяет мне её распознать. Речь идёт об использовании в iptables на узловых сетевых машинах.
Неужели нет фундаментальных наработок по этому направлению?