ipset

Используйте тип iptreemap, он позволяет добавлять как отдельные IP адреса, так и сети:
# ipset -N test iptreemap
# ipset -A test 1.1.1.1
# ipset -A test 192.168.0.0/16
# ipset -n -L test
Name: test
Type: iptreemap
References: 0
Default binding:
Header: gc: 300
Members:
1.1.1.1
192.168.0.0:192.168.255.255
Bindings:

О, пасиб. Интересно только по скорости это как нить отразиться?

Практически везде использую данный тип, каких-либо проблем со скоростью работы set-ов данного типа не замечал.

>Практически везде использую данный тип, каких-либо проблем со скоростью работы set-ов данного типа не замечал.

А какие у тебя нагрузки?

Почти никаких :-) Т.к. используется на офисном шлюзе - max 30..60 Mbit/s трафик, и на некоторых серверах - set-ы автоматически заполняются при DDoS-е и банят плохие IP.
На одном вот сервере сейчас для блокировки спамеров набралось ~17500 IP. Спамеры почему-то решили, что там открыт релей и постоянно пытаются переслать через этот сервер почту. Надоело смотреть на засирание логов, теперь модуль recent «засовывает» их в нужный set и дело с концом. Спамеры так и продолжают ломиться, но нагрузка на сервере почти нулевая.
Да и во времена DDoS-ов не замечал видимых тормозов из-за firewall-а.

Если так остро встаёт вопрос о производительности, думаю перед использованием такое лучше протестировать.
Каких-либо данных о нагрузках изначально не было дано, поэтому и ответ был общим - для повседневных нужд вполне хватает.