portsentryを入れてみたんだが・・・
これ、賢いというか何というか。
・portsentry.blocked.tcpをgrepして該当IPがあればスルー
・無ければiptablesを叩く
という木訥にゃ動きをしてくれる仕様のようで。
何かというと、こっちとしては他のものの都合もあって、iptablesのルールは変更されることもあるわけで、にゃにもportsentry.blocked.tcpと現状のiptablesのルールが合致するとは限らにゃかったりする。
すると、dropされていにゃいのにportsentryでは無視されるって状況が出てきてしまうわけで、つまりportsentry.blocked.tcpを無視して欲しいと。そんにゃわけで、上記の実装ぽいので、ln -s /dev/nullとかしてみたり。・・・これで動いてしまうあたりが素敵>linux
おかげで、過去のdrop指定履歴に関係にゃくiptablesを叩いてくれるようににゃった。
あとは、指定時間後にban解除とかでいいかにゃ?