Оптимизация правил брандмауэра
Оптимизировать правила брандмауэров, используемых в небольших сетях, а тем более в домашних компьютерах, не обязательно. Как правило, компьютер, работающий под управлением Linux, успевает обрабатывать пакеты быстрее, чем они приходят по сети. Поскольку отладка брандмауэра представляет собой трудную задачу, представить правила в виде, удобном для чтения, гораздо важнее, чем оптимизировать их с целью повышения производительности.
Правила брандмауэра должны располагаться, начиная с частных и заканчивая общими правилами. Заметьте, что брандмауэр допускает некоторое изменение порядка следования правил. Переустанавливая правила в границах дозволенного и размещая часто используемые правила ближе к началу списка, можно добиться некоторого увеличения производительности брандмауэра. Так, например, если вы редко используете FTP, то объем трафика, обусловленного обращениями к Web-серверу, будет больше, чем объем трафика, связанного с FTP. Обработка списка правил заканчивается в тот момент, когда система определяет, что пакет соответствует одному из них. Таким образом, помещая правила, предназначенные для обработки HTTP, перед правилами, связанными с FTP, можно снизить нагрузку на систему.
P.S. Хорошее онлайн-радио для всех посетителей моего сайта! Заходите интернет радио !
Можно добиться повышения производительности, отказавшись от группировки правил ввода и вывода и выполняя независимую перестановку содержимого цепочек input и output. Так, например, объем данных, передаваемых Web-клиентом Web-серверу, невелик по сравнению с объемом информации, которую сервер возвращает в ответ на запрос клиента. То же справедливо и для FTP. Трафик через порт 20, предназначенный для передачи данных, значительно превосходит трафик, связанный с портом 21, по которому сервер получает команды от клиента.
Рассмотрим компьютер, работающий под управлением операционной системы Linux и подключенный к Internet. На нем установлен брандмауэр, рассмотренный в главе 3. Интерфейсу, через который компьютер связывается с сервером провайдера, присвоен статический IP-адрес. Брандмауэр выполняет маскировку обращений к Internet из небольшой локальной сети.