As operações com os comandos iptables e ip6tables (para IPv6) são aplicadas imediatamente. Você pode ter uma regra na sua cadeia INPUT que aceita o tráfego antes de chegar a este, como:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Se você aplicar sua regra com -A , a regra será anexada após as regras anteriores e, mesmo se você disser que o tráfego de 123.123.123.123 deve ser bloqueado, a regra que permite o tráfego TCP 80 terá precedência. É recomendado que você insira uma nova cadeia ( blocklist abaixo) no seu conjunto de regras como em:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
E, em seguida, aplique regras à cadeia blocklist em vez da cadeia INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP