Optimalizace iptables pravidel

[Petr Horacek]

Dobry den vsem,

jelikoz se mi na firewallu zacinaji mnozit pravidla a parkrat se toto 
doporuceni mihlo i tady v konferenci, tak bych chtel udelat optimalizaci 
techto pravidel. Sice jich neni jeste pres 100, ale i tak.

Chtel bych se vas zeptat na nazor/zkusenosti na nektere z techto veci:

- ma vliv rozdeleni do uzivatelskych chainu?

- ma vliv poradi pravidel v chainech (uzivatelskych i standartnich - I, 
O, F) - tzn. ty, ktere predpokladam, ze budou platne nejcasteji, 
presunot na zacatek a naopak; priklad: nejdriv povolit 80 pro web a az 
potom malo vyuzivane 21 ftpko ?

- ma vliv poradi parametru v pravidlu - nedriv rozhrani, pak protokol, 
pak treba port - vyhodnocuje se to postupne jako treba nektere 
programovaci jazyky nebo az cele?

- ma vliv pouziti rozsireni jako iprange, state?

- co delat tam, kde se neda pouzit uzivatelsky chain (tabulky NAT, 
MANGLE) a vic pravidel (markovani podle source IP pro pouziti CBQ)?

Nemate tip na nejaky clanek o takove optimalizaci, pripadne nejaky 
validator?

Dekuji za pomoc

-- 
S pranim pekneho dne

Petr