Alguém pode dizer definitivamente que usando a extensão --multiport com regras iptables:
É mais rápido que criar uma regra por porta?
É mais lento que criar uma regra por porta?
Não faz diferença?
Se eu tivesse que adivinhar, eu pensaria que o # 1 é mais provável, mas reconheça que deve haver uma chance de # 2 ou # 3 também. A www.iptables.info descrição da correspondência de multiportas não diz nada de uma forma ou de outra .
A única coisa que eu encontrei pesquisando na web é , o que implica # 2 mas é anedótico, e - para ser prejudicial - é fácil suspeitar de jogadores e usuários do gentoo ;)
A resposta é definitivamente 1.
Digamos que você tenha algumas regras como esta:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT
Três vezes seguidas, você verificará se a interface de entrada é eth0 e se o protocolo L4 é TCP.
Com multiportas, você verifica apenas uma vez.