Гесер

for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
echo "Denying $x..."
/sbin/iptables -I INPUT -m iprange --src-range $x -j LOG
done

# 1) loopback
${FWIN} -i lo ${OK}
${FWIN} -d 127.0.0.0/8 ${NO}

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 127.0.0.0/8
DROP all -- 1.8.0.0/1.15.255.254 0.0.0.0/0
DROP all -- 88.219.146.0/88.219.255.254 0.0.0.0/0
DROP all -- 89.219.128.0/89.219.159.254 0.0.0.0/0
DROP all -- 90.219.238.0/90.219.255.254 0.0.0.0/0
..
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:245
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:245 flags:!0x17/0x02
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:3306
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp dpt:3306
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:53 dpts:1024:65535 flags:!0x17/0x02
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp spt:53 dpts:1024:65535
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:25 dpts:1024:65535 flags:!0x17/0x02
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spts:1024:65535 dpt:113
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:113 dpts:1024:65535 flags:!0x17/0x02
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:995
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:143
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:993
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:80 dpts:1024:65535 flags:!0x17/0x02
ACCEPT icmp -- 0.0.0.0/0 178.63.221.91 icmp type 0
ACCEPT icmp -- 0.0.0.0/0 178.63.221.91 icmp type 3
ACCEPT icmp -- 0.0.0.0/0 178.63.221.91 icmp type 8
ACCEPT icmp -- 0.0.0.0/0 178.63.221.91 icmp type 11
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:81
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:20 dpts:1024:65535 flags:!0x17/0x02
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp dpt:20
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp spt:20 dpts:1024:65535
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 178.63.221.91 tcp spt:21 dpts:1024:65535 flags:!0x17/0x02
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp dpt:21
ACCEPT udp -- 0.0.0.0/0 178.63.221.91 udp spt:21 dpts:1024:65535
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 flags:!0x16/0x02
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 127.0.0.0/8 0.0.0.0/0
ACCEPT all -- 178.63.221.91 0.0.0.0/0

netwind:
Я всегда на удаленных серверах сначала заменяю DROP на LOG и тестирую.

myhand:
Еще полезно создавать отдельную цепочку логически объединенных правил.А дальше можно подключить все это дело в INPUT и открутить обратно одной командой, типа

madoff:
и что бы вас не банило добавить надо в блек лист вашу подсеть первой, что бы вы как бы были уже в бане тогда скрипт не будет добовлять в Iptables вас

Electronn:
создайте новую цепочку , как и говорили до этого. После создания цепочки просто с флагом -j RETURN свой IP выводите из нее, а дальше пусть что хочется блокируется)

выкачивать в больших количествах?