За день у меня в iptables прибавилось 20тыс /24 правил DROP
Жесть жестокая.
Сделайте ОДНО правило для дропа. И ipset в который загоняйте ваши десятки тысяч адресов.
Будет работать существенно быстрее.
Но в целом, как и сказали выше - это не решение проблемы серьезного DDoS'а: если вам забили канал, то как трафик на хосте не обрабатывай канал это не освободит.