Архитектура разделения сетей/хостов и ipset

Расскажи про задачу, а то непонятно кого и зачем делить

Ну есть Сеть со всем содержимым. Если локальные сети. Есть всякие DMZ и прочие спец. «области». Бывают хосты, к которым есть особое отношение. Например, с них/к ним разрешено/запрещено. Или forward на них/с них. Количество таких вариантов может быть довольно большим, но оно явно конечно. Соответственно, возможно группировать. Далее, имеются соображения по поводу скорости обработки правил iptables, что означает, что дробить группирование очень сильно не нужно. По идее, должен быть баланс. Я так полагаю, это какая-то математическая задача, но моё образование не позволяет мне её распознать. Речь идёт об использовании в iptables на узловых сетевых машинах.
Неужели нет фундаментальных наработок по этому направлению?
Вспомнил сейчас слова «множества» и «подмножества». Которые могут пересекаться, а могут и не пересекаться.

Задачу можно назвать «оптимизация файрволла» ))))

Простой пример.
Делаю сет black_list для блокировки всех входящих соединений от хостов в Сети. Ок, прекрасно. А теперь мне захотелось заблокировать форвард из моих локалок на некоторые хосты в Сети. Будет ли оптимальным решением использовать ТОТ ЖЕ сет black_list, в который я добавлю нужные мне адреса или мне следует создать ОТДЕЛЬНЫЙ сет для конкретно этой задачи?

Ясно. Думаю самым очевидным и наверняка самым производительным вариантом будет создание нескольких групп в ipset (по одной на каждое действие) и добавление ip или портов в них. Чем меньше групп/правил в iptables, тем больше производительности. Таким образом, чем меньше групп понадобится создать для решения задачи - тем лучше

Разве есть какие-то варианты лучше?

Ну тут tradeoff, либо небольшие потери производительности и чуть более очевидное предназначение групп, либо наоборот. Я бы выбрал вариант с тем же сетом

самым очевидным и наверняка самым производительным вариантом будет создание нескольких групп в ipset

так в том-то и заключается вопрос. Как, по каким признакам оптимально группировать?

По таким, чтобы получилось как можно меньше правил в iptables. По каким признакам - будет зависеть от задач которые должен решать фаерволл. Универсального решения не может быть.

Наверняка можно написать алгоритм, который будет находить оптимальное решение для заданных правил, но оно того не стоит если правил меньше нескольких сотен. В этом случае проще на глаз разделить, не думаю что производительность будет сильно хуже оптимального случая

Ну и про человекочитаемость правил не стоит забывать, никакая производительность не стоит ошибки в фаерволе =)