Das einzelne Blockieren von IP-Adressen erzeugt natürlich einen entsprechenden Aufwand für iptables – zumindest dann, wenn ganze IP-Adressensammlungen im fünf- oder sechsstelligen Bereich blockiert werden sollen. Und hier kommt ipset ins Spiel – eine Netfilter-Erweiterung.