Das heißt dann aber, dass ich selber in IP-Tables eingreifen muss?

Ja. Die beiden gezeigten Skripte vereinfachen das aber stark, weil ich nur fw_block.sh bzw. fw_unblock.sh ip/maske eingeben muss. iptables sorgt selbst dafür, dass die geperrten Items beim Neustart auch wieder blockiert werden.

Darüber hinaus macht es in der weit überwiegenden Zahl der Fälle keinen Sinn, ganze Netze zu sperren, weil die Angreifer eben nicht ihr ganzes Netzwerk "durchnudeln", sondern für die Angriffe i.d.R. Rechner benutzen, die selbst gekapert sind bzw. halt über TOR gehen. Das bedeutet, Du hast es aus Netzwerk-Perspektive pro Angreifer in der Regel eben NICHT mit EINEM Netz zu tun. (Das "Botnet" ist hier nicht gemeint...)

Die ich gesperrt habe, die haben sich lediglich als Netze mit notorischen Angriffen erwiesen. Und ja: Entweder schreibst Du Dir eine Wahnsinns-Software oder Du schaust ab und an mal über die Logs und blockst dann auffällig gewordene Netze, vor allem dann, wenn Du Dir (z.B. bei chinesischen, brasilianischen, türkischen ... ISP oder Hostern oder Rechenzentren in Utah/USA) nicht vorstellen kannst, dass die was legales auf Deinen Rechnern wollen.

Jörg Reinholz