"szerver logok monitorozására hsználom, url figyelésére én nem tudom, lehet-e használni"
Tekintve, hogy a webszerver logjába bekerülnek a 404-ek is, így csak az igényeknek megfelelő regexp(ek)et kell megírnod hozzá.
"Jelenleg 6365 IP van az adatbázisban..."
Nem tudom mennyi idő után törölsz, de túl hosszú időre nincs értelme hagyni.
Utaltál arra, hogy a netfilter alapú ellenőrzést drágának találod. Biztos jól írtad meg a szabályokat? Mert amellett, hogy a hatezren felüli blokkolást soknak találom, az adott láncra nyilván csak a TCP/80-ra (443-ra stb.) menő NEW állapotú, SYN csomagok szűrésénél ugrottál eddig is, a többivel úgyis átugrottad ezeknek az IP-knek az ellenőrzését. Szóval milyen gyorsan jönnek az ilyen típusú kapcsolatok, amely annyira megviseli a hardvert?