Tohle se ti bude psát totiž strašně špatně. Například INPUT bys měl končit DROPem (nebo obdobně). Čili když tam něco přidáš, přidáš to až za to ... Musíš si pomoci jinak, buď vkládat někam před to (čili ještě hledat ten drop), nebo použít extra chain (což musíš mít předem).
Řešení s address-listem řeší veškerou práci s IP adresami a sítěmi. Neovlivňuješ firewall jako takový (což je někdy výkonově náročné, když je velký), ale jen tabulky address-listu. A je vcelku fuk, jestli tak filtruješ deset IP, nebo tisíce, stojí to plus mínus stejně výkonu. A hlavně si nic nerozbiješ, protože prostě do firewallu nesaháš. Je takový dobrý přístup neduplikovat pravidla, což ve firewallu budeš pro každou takovou IP. Ale s address-listem je to jen jedno pravidlo. Čili i přehlednost pro admina je významným plusem.
I programově se s tím pracuje lépe, neboť tě nezajímají duplicity. Prostě tam záznam vrazíš a on tam je jen jednou, nemusíš to cyklem hledat. Stejně tak mazání (toho se týká i možnost určit záznamu timeout).
Ale kdo chce kam :-) Chybu jsem ti našel.
