Отрицательный по сравнению с положительным соответствием влияют на производительность брандмауэра?

Мой первый инстинкт - то, что в Вашем примере стоимость и сложность Ваших правил идентичны и который лучше, столько же персонального предпочтения сколько что-либо еще. Инверсия обычно не более сложна как правило соответствия в netfilter.

Общее согласие, кажется, что число и упорядочивание правил намного более важны для оптимальной производительности затем, как Вы создаете отдельные правила, хотя можно сделать усиления там также.

Linux netfilter брандмауэр обычно работает под первым основанием соответствия, и правила в каждой цепочке обрабатываются последовательно, таким образом, чем меньше правил должно было быть обработано прежде, чем поразить соответствие, тем выше Ваша производительность будет.

Это - причина, как которая большинство конфигураций брандмауэра имеет что-то: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT как первое правило. Обычно то единственное правило соответствует большинству всего движения на довольно оживленных сайтах. (Как во вверх 99% всего трафика...)

Теперь остающиеся правила брандмауэра только, чтобы быть инициированными и обработанными для новых соединений, значительно уменьшив объем необходимой обработки.

Так как правила обрабатываются в порядке с точки зрения производительности, которую имеет смысл заказывать правилам тем, как, вероятно, они инициированы.

например, на веб-сервере подавляющее большинство трафика будет на портах HTTP по умолчанию. Поэтому правило как -A INPUT -p tcp -m state --state NEW -m multiport --dports 80,443 -j ACCEPT осуществление большинства Ваших пользователей должно быть Вашим вторым правилом и не как правилом номер 199 после целого диапазона правил, которые вряд ли будут соответствовать для любого, но небольшого количества определенных пользователей и/или редких протоколов.

До обработки правил при помощи корректных модулей как, например, многопортовый и iprange можно создать умные правила скорее затем многочисленные отдельные правила.