Selon à Jan Engelhardt (une des personnes actives dans le packaging du noyau dans la communauté OpenSUSE) :
La limite supérieure théorique du nombre maximal de règles pour un système 32-bit serait d'environ 38 millions
mais le vrai goulot d'étranglement avec des règles énormes c'est la mémoire. Vous devez surveiller la mémoire /proc/vmalloc
lorsque vous appliquez ces règles pour éviter le swapping qui ralentit beaucoup l'ordinateur.
Comme cela a déjà été mentionné IPSet est un bon moyen de gérer ces règles de blocage excessives. Vous pouvez attribuer de nouvelles règles et supprimer les règles précédemment attribuées de manière efficace :
# Create the new set and add the entries to it
ipset -N new-set ....
ipset -A new-set ....
...
# Swap the old and new sets
ipset -W old-set new-set
# Get rid of the old set, which is now under new-set
ipset -X new-set