>- прямое добавление/удаление правил (попробуйте в iptables вставить/удалить правило в произвольное место
>цепочки, а не строго в начало/конец, и проделать это несколько раз) Ну, вообще-то оно нынче уже умеет указывать номер правила в подцепочке:
-I, --insert chain [rulenum] rule-specification
>- из последнего вытекает skipto;
>- Логарифмическая зависимость времени добавления правила от числа правил (против экспонециальной у
>iptables). Хотя было очень давно, и сейчас, возможно, с этим дела
>обстоят лучше. На 3-м Debian-е при примерно 20000 правил добавление следующего
>занимало 15 секунд при загрузке машины в ~50 попугаев. Такое количество
>правил потребовалось сугубо из-за отсутствия таблиц адресов;
Ну, вообще-то она линейная, логарифмическая - это для адреса в таблице. А что, в линуксах когда-то оно было именно экспоненциальным, даже не квадратичным? Ужос, это ж как так надо код писать... линейным было бы вполне естественно сразу.