Если кол-во правил не большое - то да.
Если их переваливает за 3000, то перед тем как исходный пакет попадет на
входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000
правил.
Stateful firewall
При этом каждый новый пакет должен сделать тоже самое. В результате вы
получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу
при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь
переполнена.
Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все
еще будет работать?
100k адресов в ip:hash работает ОК. Дальше не пробовал, но не думаю, что здесь могут возникнуть какие-то проблемы.