мой пойнт в том, что затраты на переключение контекста даже несколько раз в секунду (тем более, что контекст все равно переключается для валидных пакетов, коих, очевидно, значительно больше) - ничто по сравнению с пробеганием каждого пакета по коннтраку. если же вас сознательно дрочат, то тут и фаер не спасет - банально засрут пакетами бандвис, это для атакующих стоит примерно ничего. гораздо эффективнее в таком случае дропать пакеты до рекурсера, например на границе сети.
лучше предложите топикстартеру правила без коннтрака, все полезнее чем стращать переключениями контекста для исчезающе малой доли невалидных пакетиков =)
ps. для прикола посчитал, сколько раз отработал tcp wrappers для ssh за вчера на одном из наших рекурсеров - получилось 1 раз в 10 минут. и вот ради этого включать фаервол? [:facepalm:]