ipfw и over 9000 правил

[AlexZagr]

Перечитал разную документацию, но что-то непойму саму суть как сделать что-то типа древовидного файрвола, если такое вообще можно сделать.

Корень проблемы: нужно в ipfw (или другой FreeBSD firewall) добавить около 16000 правил, например

Код: Выделить всё

ipfw add 1000 allow ip from 192.168.0.1 to any
ipfw add 1001 allow ip from 192.168.0.2 to any
ipfw add 1002 deny ip from 192.168.0.3 to any

и т.д. Никакой закономерности в ip нет.

Если добавить такое на ненагруженый сервер то сразу съедается 5% CPU, но если его пригрузить трафиком то CPU ложится уже при 2000 правилах.

Вот я и ломаю голову как сделать, напимер, если сеть 192.168.0.0/24 то перейти к последовательному перебору правил по этой подсети, если нет то проверяем подходит ли ip под следующую подсеть.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmtr]

Код: Выделить всё

ipfw table

не поможет?

[skeletor]

Нагружается именно в момент добавления правил или в процессе работы? Если в момент добавления, то можете добавлять пачками, например, по 1000 правил.

[AlexZagr]

Код: Выделить всё

ipfw table

не поможет?

Стоит написать на форуме как сразу приходит прозрение, да table кажется то что нужно, вот собираюсь проверить под нагрузкой. Незнаю почему вначале откинул это решение.