Правила брандмауэра основаны на имени домена, а не на IP-адресе.
В дополнение к ответу Яна -Арквера, если ваш список рассылки поддерживает как минимум патчворк 2.0 , вы также можете использовать git -pw . Который может обрабатывать ряды напрямую (, на данный момент, похоже, обновились только ozlabs, поэтому я просто сделаю искусственный пример)
git-pw --server https://patchwork.ozlabs.org --project linux-imx series apply 34215
Обратите внимание, что вам также потребуется выполнить аутентификацию с помощью токена API или учетных данных вашей учетной записи.
iptables не работает с доменами, но вы можете создать ipset и периодически обновлять его содержимое.
ipset create allowed hash:ip
правило iptables будет выглядеть как
iptables -A INPUT -p tcp --dport 3128 -m set --match-set allowed src -j ACCEPT
Создайте простой скрипт, выполняющий поиск домена и обновляющий список разрешенных.
#!env /bin/bash
ip=`dig +short domain.com`
ipset flush allowed
ipset add allowed $ip
И добавить cronjob (Каждые 5 минут в этом примере)
*/5 * * * * root /path/to/myscript.sh
Эта функция встроена в брандмауэр CSF. Таким образом, вы можете заблокировать входящий трафик даже для одного источника. И иметь (дешевый, но, надеюсь, безопасный )динамический DNS-сервис, обновляющий IP-адрес до заданного субдомена. CSF будет периодически проверять и изменять разрешенный входящий IP-адрес. Это работает очень, очень хорошо. Очень низкие эксплуатационные расходы. Я использую для блокировки доступа к VPS. Кажется, это должно быть очень популярной вещью, но очень трудно найти много информации об этом. Так что был рад узнать о CSF. Который, кстати, легко настраивается в Webmin. Также это бесплатно. И популярный. Немного сложно настроить в зависимости от того, какой дистрибутив вы используете, если разные пути разные.https://www.configserver.com/cp/csf.html
ipset add allowed $ip
не работал у меня, потому что digответил 4 IP-адресами. Сделал это вместо:
for n in $ip
do
ipset add allowed $n
done