Перечисление параметров в iptables

А ты не пихай все правила в одну цепочку, а свои создавай да правила по ним и группируй.

От того что я их сгруппирую меньше их не станет.

Возможно, станет меньше проверяемых правил.

А если у тебя будет одно правило с большим списком параметров, то это не значит что будет затрачиваться меньше времени на проверку.

Если речь идет о поддержке файервола с большим кол-вом часто меняющихся правил, то следует приспособить какой-либо фронтенд для удобства.

Я спрашиваю не о том как снизить нагрузку на CPU, а о том как открывать доступ с определенных адресов не добавляя каждый раз по 4 строчки в rc.firewall.

Не дочитал, да?

>Если речь идет о поддержке файервола с большим кол-вом часто меняющихся правил, то следует приспособить какой-либо фронтенд для удобства.

Дочитал. Правила часто не меняются. Просто напрягает перелопачивать такой объем каждый раз. Странно это, ведь iptables всегда считался довольно гибкой системой. Вот я и думаю, что, наверное, просто подход у меня неправильный.

SSH_LIST="ip_1 ip_2 ip_3"

for pc in $SSH_LIST
do
  "4 строчки iptables"
done

Когда появляется еще один адрес для которого надо открыть доступ
1)добавляешь его в SSH_LIST 
2)перезапускаешь файервол..
Всего 2 действия. Не вижу проблемы..

Что-то в этом роде или гуи-прогу я и имел ввиду под исп. фронтенда.

tugrik, спасибо, сам я не догадался до такого простого решения.

да пожалуйста,  я просто материализовал мысли sdio ;-)

а ipset не пробовали использовать?

ipset -A accepted_hosts xx.xx.xx.xx
....
ipset -A accepted_hosts xx.xx.xx.xx


iptables -A INPUT ... -m set --set accepted_hosts --dport 22 -j ACCEPT

и т.д.

Другими словами:
Строим одно правило, а в ipset добавляем только хосты для которых оно будет применяться (этакий массив IP)
ipset можно использовать и для потров, маков и т.д., создаешь новую таблицу с нужным типом и юзаешь.

Удачи.