Se você estiver usando iptables
, ele retornará na primeira regra correspondente. Se você quiser permitir http, por exemplo, e negar as outras portas para a China, verifique se a regra de permissão http vem primeiro:
iptables -A INPUT -d myhost --dport 80 -j ACCEPT
iptables -A INPUT -m set --match-set china src -j DROP
Usando as declarações acima, você precisará criar um ipset
para china usando:
ipset create china hash:net
while read line; do ipset add china $line; done < china.ipblock-file