вот мои правило в FORWRD

Chain FORWARD (policy ACCEPT 7525M packets, 7448G bytes)
 pkts bytes target     prot opt in     out     source               destination         
 191G  280T            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set countmegogo src /* MEGOGO_IN */
  70G 3288G            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set countmegogo dst /* MEGOGO_OUT */
  91G  135T            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set countolltv src /* OLLTV_IN */
  43G 2382G            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set countolltv dst /* OLLTV_OUT */
 309M   24G DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:389
2715K  187M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:111
  55M 2726M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp STRING match  "|7fffffff00032000|" ALGO name kmp FROM 36 TO 43
 120M 5883M DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 445,135:139
2017K  246M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1900
 806K   84M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:1900
 761K   58M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:389
1180K   48M DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:389
 3345  177K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:389
  39M 1561M DROP       all  --  *      *       92.118.37.0/24       0.0.0.0/0           
    0     0 DROP       all  --  *      *       0.0.0.0/0            92.118.37.0/24      
 789K   33M DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:111
 221M   32G            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set cert src /* cert_IN */
 106M   51G            all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set cert dst /* cert_OUT */
root@bg3:~#

dp STRING match  "|7fffffff00032000|" ALGO name kmp FROM 36 TO 43

Поиск по смещению

Knuth-Morris-Pratt text search implementation   многовато жрет

это "насление" ему уже лет 10 навреное, как-то давно хотели уменьшить кол. пакето что торенты качают

А напомните мне что это 7fffffff00032000

Судя по всему оно и есть

А... торренты

в 2020 году )))

Ага торрены по udp

Чёрт я реально забыл.

да, сейчас удалю посмотрим.

удалил. udp STRING match  "|7fffffff00032000|" ALGO name kmp FROM 36 TO 43

Теперь нормально

Так-то много в форварде правил, там вообще нежелательно без причины ничего помещать.

Или делать древовидную структуру, чтобы не было полного прохода по ним. Учитывая что коннтрак выключен и не помогает тут

всмысле, не понял : "Учитывая что коннтрак выключен и не помогает тут"  все дропы работают. специально наканал те правила что актуальны для всех направлений.  на счет ветвление ну, да можно еще подумать.

Я имел ввиду, что если простыня правил длинная и проверяется от начала до конца то лучше уменьшить её длину.

У меня вот так на 2х последних  насах с гигами. RR  не стали ставить т.к. можно если что  один из гигов выключить при работе в стойке (перенос кабелей)

вот прошло 10 минут, то с 20% среднее стало 11% CPU