Доброго времени суток В чем принципиальная разница между блокировать по адрес-листам (внешние IP) через RAW-prerouting и через Filter Rules? Что из них предпочтительнее по ресурсам?
RAW дешевле. Он на самом входе стоит. Пакет идет In-Interface -> Hotspot-IN -> RAW -> Connection_Tracker -> Mangle Prerouting -> DST-NAT -> Routing Далее или в Input или в Forward и уже там после соответствующего Mangle придет в Filter Диаграмма в помощь