Eu configurei como: -
Group web
Perm 0.0.0.0/0 ports 80,443
Group tomcat
Perm web port 8009
Group application
Perm tomcat ports 42000-42300
Group db
Perm application 1521
Perm tomcat 1521
Group ssh
perm x.x.x.x/32 22
Tudo é atribuído a ssh e, em seguida, cada servidor obtém o que é necessário para executar seu trabalho. Então, um servidor tem ssh, aplicativo e db para 1521, 42000-42300 & 22 estão todos abertos.
Parece funcionar muito bem.