История изменений
Исправление disarmer, (текущая версия) :
По таким, чтобы получилось как можно меньше правил в iptables. По каким признакам - будет зависеть от задач которые должен решать фаерволл. Универсального решения не может быть.
Наверняка можно написать алгоритм, который будет находить оптимальное решение для заданных правил, но оно того не стоит если правил меньше нескольких сотен. В этом случае проще на глаз разделить, не думаю что производительность будет сильно хуже оптимального случая
Ну и про человекочитаемость правил не стоит забывать, никакая производительность не стоит ошибки в фаерволе =)
Исходная версия disarmer, :
По таким, чтобы получилось как можно меньше правил в iptables. По каким признакам - будет зависеть от задач которые должен решать фаерволл. Универсального решения не может быть.
Наверняка можно написать алгоритм, который будет находить оптимальное решение для заданных правил, но оно того не стоит если правил меньше нескольких сотен. В ином случае проще на глаз разделить, не думаю что производительность будет сильно хуже оптимального случая
Ну и про человекочитаемость правил не стоит забывать, никакая производительность не стоит ошибки в фаерволе =)