ipset iptables descarta todas as portas de exclusão, mas via limite de taxa

Se você quiser permitir as portas 80 e 443, você pode adicionar mais uma regra para INPUTchain:

iptables -I INPUT 1 -m set -j DROP --match-set banlists src
iptables -I INPUT 1 -p tcp -m multiport --dports 80,443 -j ACCEPT

e mais uma regra para FORWARDchain:

iptables -I FORWARD 1 -m set -j DROP --match-set banlists src
iptables -I FORWARD 1 -p tcp -m multiport --dports 80,443 -j ACCEPT

As regras anteriores permitirão acesso às portas 80 e 443 para todos os IPs. Para aplicar limite de taxa no ipset de banlists, você pode usar:

iptables -I INPUT 1 -m set --match-set banlists src -j DROP
iptables -I INPUT 1 -p tcp -m multiport --dports 80,443 -m state --state NEW -m set --match-set banlists src -m recent --update --seconds 120 --hitcount 10 -j DROP
iptables -I INPUT 1 -p tcp -m multiport --dports 80,443 -m state --state NEW -m set --match-set banlists src -m recent --set -j ACCEPT

Uma maneira mais fácil (IMO) é usar -Aswitch em vez de -I. Obviamente, você precisa revisar o conjunto de regras completo para garantir que ele esteja configurado conforme necessário (as regras são inspecionadas em ordem). Dessa forma, as regras aparecem na sequência normal conforme são escritas:

iptables -A INPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -m set --match-set banlists src -m recent --set -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -m set --match-set banlists src -m recent --update --seconds 120 --hitcount 10 -j DROP
iptables -A INPUT -m set --match-set banlists src -j DROP

As mesmas regras precisam ser aplicadas à FORWARDcadeia. Você pode personalizar os recentparâmetros do módulo conforme necessário, ou seja, hitcounte seconds.