Столкнулся с проблемой автоматического обновления сертификатов на сервере, котором доступ к 80 и 443 портам разрешен в iptables только с конретных ip. Соответственно, чекер от letsencrypt не мог проверить challenge и выдавал ошибку. Решил проблему небольшим изменением записи в cron.

Раньше было просто

15 2 * * * certbot renew

теперь сделал автоматическое добавление разрешающего данные порты правила первым в файрволл и автоматическое удаление его же после отработки скрипта обновления. Таким образом, новая запись в крон выглядит так

15 2 * * * iptables -I INPUT 1 -p tcp -m multiport —dports 80,443 -m comment —comment «tmp for letsencrypt update» -j ACCEPT; certbot renew; iptables -D INPUT -p tcp -m multiport —dports 80,443 -m comment —comment «tmp for letsencrypt update» -j ACCEPT