Загрузка большого количества правил iptables

[dimensb]

Здравствуйте

В 2.07 теперь есть модули ядра, это очень здорово, спасибо разработчикам!

C использованием iptables на Giga III + v2.07(AAUW.1)B1 пытаюсь загрузить большой (порядка 5000+ сетей) список в отдельную цепочку таблицы filter.

Загружается долго, порядка 2 минут и, в процессе, показывает сообщение "resource temporarily unavailable", после которого "no chain/target/match by that name".

Есть подозрение что это случается из-за того что в процессе таблица filter обновляется системой, лишние цепочки стираются и добавлять уже некуда.

Можно было бы все вынести в ipset и в iptables всего лишь проверять есть ли запись в таблице, но xt_set, к сожалению, в модулях ядра как раз нет, при использовании разных версий iptables (из ndm и entware-keenetic) выдается

~ #  /usr/sbin/iptables -I INPUT -m set --match-set myset src -j DROP
iptables v1.4.21: Couldn't load match `set':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
~ #  /opt/sbin/iptables -I INPUT -m set --match-set myset src -j DROP
iptables v1.4.21: Kernel module xt_set is not loaded in.

Можно ли как-нибудь обойти эту проблему?

Offtopic: возможно ipset появится в одной из следующих версий 2.07?

[Le ecureuil]

Рассматриваем добавление ipset в 2.06 и 2.07.

Ожидайте, вероятнее всего в ближайших сборках будет.

[Le ecureuil]

ipset добавлен, подробнее в теме про "Модули ядра для Opkg"

[dimensb]

Все работает на v2.07(AAUW.2)B2, грузится быстро, теперь проблем с переписыванием правил быть не должно.

Спасибо большое!