網路的世界，總是存在一群隱密的駭客，無時無刻連線網路上主機所開放的任何連接方式，來嘗試入侵或破壞。當完成一台主機的部署之後，第一件要做的就是建立安全區的連線，透過基本的 iptables 設定，在最短時間將主機設定允許的連線區域，避免在軟體環境尚未更新或設定前就被攻破。

這看似十分安全，但當主機真正開始提供服務時，部份需公開的服務就可能不受 iptables 設定保護(如 WEB，匿名FTP)，此時，我們也沒辦法告訴 iptables 誰可能駭客，也不可能隨時盯著連線IP來分析。這時就會想，如果有誰能告訴我那些 IP 可能是危險的那有多好？！

www.spamhaus.org 提供了一個固定更新的黑名單，會自動將網路上不法的 IP 定期記錄於 http://www.spamhaus.org/drop/drop.lasso 清單當中，因此，我們可以透過 Shell 腳本 + Crond 自動排程，每天自動下載該清單，並寫入我們的 iptables 設定中來阻擋那些可疑的 IP 。

依據官方解釋，這些 IP 網段主要是被用來當做發送垃圾封包使用，因此，這並不能有效的阻擋真實 IP 的攻擊，若要對真實 IP 來查驗，那可能只能多透過腳本寫出針對本機連線的次數、特性等分析加阻擋。但無論如何，我們還是把它列入阻擋清單當中吧。

我習慣將 iptables 寫成腳本來呼叫，這樣一來方便備份設定，另外也能快速加入新的條件，如果了解 iptables 運作，可以參考上面的圖。

接下來，來看基本型的 iptables 腳本(set_iptables.sh)。

當我需要更改服務的 port 或添增時，我就只要更改這個腳本檔，並再重新呼叫。

再來看看如何達成自動下載 drop list 並生效的腳本(set_iptables_drop_lasso.sh)