<div dir="ltr">Здравствуйте.<br><div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Если кол-во правил не большое - то да.<br>

Если их переваливает за 3000, то перед тем как исходный пакет попадет на<br>
входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000<br>
правил.<br></blockquote><div style><br></div><div style>Stateful firewall</div><div style> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
При этом каждый новый пакет должен сделать тоже самое. В результате вы<br>
получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу<br>
при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь<br>
переполнена.<br>
Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все<br>
еще будет работать?</blockquote></div><div class="gmail_extra"><br></div><div class="gmail_extra" style>100k адресов в ip:hash работает ОК. Дальше не пробовал, но не думаю, что здесь могут возникнуть какие-то проблемы.</div>
<br clear="all"><div><br></div>-- <br><div dir="ltr">Best Regards,<br><div>Vadim Lazovskiy</div></div>
</div></div></div>