今天有个需求是在防火墙上屏蔽一个指定地理范围的 IP，因为归属一个地区的 IP 列表总是在变化的，所以需要能在防火墙上实时更新规则
#ipset #iptables 虽然是已经该弃用的技术，但为了实现尽可能最大的兼容性还是尝试用它们实现了上面的需求
出乎意料的是，好像从来没有人提出过下面这些问题（至少我怎么都没搜索到）。干脆就自己动手测试出了答案，这里分享给大家：

Q1: 使用 ipset 维护需要匹配的 IP 地址片段，当更新 ipset 时，真的需要重新加载 iptables 规则吗？
(Refer to: https://unix.stackexchange.com/questions/596215/how-to-block-china-and-keep-it-blocking-after-reboot-having-problems-in-impleme)
A1: 没有必要，对 ipset 的修改会实时反应在防火墙上。无论是新增一条记录还是删除一条记录都是如此。

Q2: 如果一个容器的网络类型被设置为 host（`network: host`），在 DOCKER-USER CHAIN 上添加的规则会对该容器生效吗？
A2: 不要想得太复杂，会生效。