Можно попросить топистартера запилить модуль "ipt_hasjump". Суть его в хешировании цепочек правил iptables по отношению к подсетям.
Суть вопроса:
Хочется убрать много лишних правил в фаерволе, которые нельзя объединить IPSETом в одно правило, тем самым снизить нагрузку на процессоры.
Правила NAT трансляций невозможно объединить IPSETом. И если таких правил много (например, NAT 1к1 большого кол-ва адресов), то каждый пакет будет пробегать по большому кол-ву лишних правил фаервола, чего оооооочень хочется избежать.
Короче, хочется модуль, который будет обрабатывать правило типа:
iptables -A -m ipt_hashjump --ipt_hashjump-set "name" --ipt_hashjump-mode=src[,dst] -j HASHJUMP
файл /proc/net/ipt_hashjump/name содержит соответствия IP сетей к цепочкам фаервола:
x.x.x.x/x сhainname1
y.y.y.y/y сhainname2
.......
Заранее спасибо)))