Итак, как указано в комментарии, порядок имеет значение!
Чтобы быть на безопасной стороне, netfilter рекомендует изменить iptables
политику для INPUT
цепочки на drop, чтобы затем разрешить только IP адреса или диапазоны, которые вы хотите.
Чтобы ответить на ваш вопрос, сначала вы разрешаете нужный IP-адрес, используя флаг -I
, который указывает, что вы хотите поместить правило сверху.
iptables -I INPUT -s SOURCE_IP -j ACCEPT
iptables -A INPUT -m iprange --src-range SRC_RANGE/CIDR -j DROP
В iptables
применяется первое правило, что означает, что правило сверху всегда будет побеждать.
DENY (this rule wins)
|
ALLOW
Из руководства для stat(1)
можно найти (это из разновидности Centos7 stat(1)
; другие источники могут отличаться)
%b number of blocks allocated (see %B)
%B the size in bytes of each block reported by %b
%o optimal I/O transfer size hint
, который указывает, что первое относится к блокам, выделенным в файловой системе, а второе — к значению, относящемуся к вводу-выводу в указанном файле. Существительное (блокирует выделенные )по сравнению с глаголом (передачу указанных блоков )более или менее.