Как заставить gcc работать на CentOS 7?

I think the problem is 81.212.0.0/14 have bigger IP count than 65535, maybe idk.

Возможно, здесь вы совершенно правы. Если вы используете IPset типа hash, он имеет максимальное количество элементов, которое он может хранить, задается параметром maxelemпри создании IPset... и значением по умолчанию для maxelemявляется 65536. И если вы используете хэш типа bitmap, 65536 адресов — это максимальный размер карты.

Но для чего вы используете IPset? Если вы просто сопоставляете весь сегмент /14, IPset на основе хэша -будет гораздо менее эффективным, чем простое сопоставление на основе сетевого адреса и маски -.

Но если вы только настраиваете начальный набор и планируете в дальнейшем выборочно выбивать из него определенные IP-адреса, то имеет смысл использовать IPset.

Даже в этом случае, если ожидается, что количество выбитых -IP-адресов будет относительно небольшим, может быть целесообразно инвертировать смысл того, что вы делаете, и использовать сопоставление на основе маски -в качестве общего правила. и сопоставление на основе IPset -в качестве исключения.

Что-то вроде:

iptables -N maybeAllow81_212
iptables -A maybeAllow81_212 -m set --match-set denyiplist_81_212 src -j DROP
iptables -A maybeAllow81_212 -j ACCEPT

iptables -A INPUT -s 81.212.0.0/14 -j maybeAllow81_212

Таким образом, любой трафик, поступающий не из сети 81.212.0.0/14, может быть обработан в основной цепочке INPUT с помощью всего двух ассемблерных инструкций :: одной 32-битной -И и одной 32-битной -битовое сравнение. Вы не можете получить намного быстрее, чем это.

Любой трафик из этого сегмента перенаправляется в подцепь maybeAllow81_212, которая выполняет сопоставление хэша (с инвертированным, надеюсь, гораздо меньшим набором для сопоставления! ), а затем позволить пройти всем, кто не соответствует набору.