如果 INPUT 数据包不是来自我的国家，iptables 会将其丢弃

我认为有更好的方法来实现你想要的。

对于您的第一个问题。是的 - 国家/地区的 IP 地址会随时间而变化。通常变化很慢，并且通常会增加添加的 IP 数量，尽管 IP 地址可能会被交还/转移到其他区域。

我认为更好的方法是设置 VPN - 并且只允许通过 VPN 进行 SSH 连接。这可以更严格地控​​制谁可以访问您的系统（将其锁定在比国家级别更严格的水平），同时让您免于更改 IP 地址并添加额外的加密层。这是大型公司使用的相当标准的模型。这也意味着如果您确实去了其他地方，只要您通过 VPN 进行身份验证，您仍然可以访问您的系统。

我将此作为答案发布主要是因为我可以使格式看起来不错。

我为我连接的特定 IP 范围创建了一个白名单，因为我厌倦了随机 IP 地址尝试连接，这些地址可能是端口扫描之类的

# whitelist; block all new inbound connections except from these IP ranges
iptables -N whitelist
iptables -A whitelist -i br0 -j RETURN
iptables -A whitelist -m state ! --state NEW -j RETURN
iptables -A whitelist -s 1.0.0.0/8 -j RETURN #ip range 1: 1.x.x.x
iptables -A whitelist -s 2.0.0.0/8 -j RETURN #ip range 1: 2.x.x.x
# ETC...
iptables -A whitelist -j DROP

iptables -I FORWARD -j whitelist

我已经使用这个至少一年了，IP 范围没有改变，所以它至少对我和我的位置来说运行良好。当然，我不能肯定地说你的 IP 地址范围是否会改变。

https://linoxide.com/linux-how-to/block-ips-countries-geoip-addons/ 以下是说明

请阅读上面的链接，因为其中仅包含重点内容。

安装 Xtables-addons（您可以从包管理器安装它，而不必编译它）

一旦我们的系统升级并安装了依赖项，我们现在将在我们的机器上安装 xtables-addons。为此，我们将使用 wget 从官方 xtables-addons 项目站点下载最新的 tarball。下载后，我们将提取 tarball，然后编译并安装在我们的机器上。

 wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz
 tar xf xtables-addons-2.13.tar.xz
 cd xtables-addons-2.13
 ./configure
 make
 make install

安装 GeoIP 数据库

接下来，我们将运行 xtables-addons 扩展附带的名为 xt_geoip 的模块，该模块从 MaxMind 下载 GeoIP 数据库并将其转换为 xt_geoip 可识别的二进制形式。下载后，我们将构建它并将其移动到所需的 xt_geoip 路径，即 /usr/share/xt_geoip/ 。

 cd geoip
 ./xt_geoip_dl
 ./xt_geoip_build GeoIPCountryWhois.csv
 mkdir -p /usr/share/xt_geoip/
 cp -r {BE,LE} /usr/share/xt_geoip/

安装完成后即可使用

iptables -I INPUT 1 -m geoip --src-cc IN,UN -j DROP