As regras de iptables podem manipular conjuntos de IP?

Acontece que é possível, usando a meta SET descrita em iptables-extensions(8) .

SET
   This module adds and/or deletes entries from IP sets which can be defined by ipset(8).

   --add-set setname flag[,flag...]
          add the address(es)/port(s) of the packet to the set

   --del-set setname flag[,flag...]
          delete the address(es)/port(s) of the packet from the set

          where flag(s) are src and/or dst specifications and there can be no more
          than six of them.

   --timeout value
          when adding an entry, the timeout value to use instead of the default one
          from the set definition

   --exist
          when  adding  an  entry  if it already exists, reset the timeout value to
          the specified one or to the default from the set definition

   Use of -j SET requires that ipset kernel support is provided, which, for standard
   kernels, is the case since Linux 2.6.39.

Eu não encontrei, porque não procurei mais depois de encontrar a descrição do módulo set .

Não, o iptables / netfilter não pode manipular listas de ipsets.

A extensão de correspondência set para iptables é uma visualização somente leitura em listas de ipset. As listas devem ser manipuladas apenas com o comando ipset .

A melhor maneira de fazer o que você está tentando realizar é usar a extensão iptables log combinada com fail2ban . < br> O Iptables seria configurado para registrar cada vez que alguém viola sua política e, depois de violar o número de vezes X, o fail2ban adicionaria esse host à lista negra.