Я тоже так думал, что умрет от такой кучи правил. Собирался что-то типа htb ваять по цепочкам /8, /16, /24, /32.
А потом нашел, что это уже давно сделано (далее голосом Виктора Прокопенко с РЕН-ТВ) Об этом мало кто знает, но для iptables есть утилита ipset, которая умеет эффективно обрабатывать большие списки адресов или подсетей используя хэширование. (http://ipset.netfilter.org/)
А обычный линуховый роутер (HP G5, 4 ядра, 10 гиг памяти) не помрет, если ему влить такой список ip-адресов для заворачивания в /dev/nul ? Трафика - до 300 мегабит в пиках