Ich kann Dir bei Deiner konkreten Frage nach den IPs nicht weiterhelfen. Aber da wir da davon ausgehen können, dass wir in dem Kontext mit ROOT-Rechten arbeiten: warum machst Du das Renewal nicht einfach via HTTP stumpf alle 7 Tage? Der Certbot sagt Dir dann schon, dass Du dich bitte noch was gedulden sollst und hast mehr als genug Luft, nicht gesperrt zu werden.

letsencrypt-auto certonly --standalone --rsa-key-size 4096 -d example.org -d www.example.org --non-interactive --agree-tos --email info@example.org --http-01-port=8888

Im Apache dann halt via mod_proxy den Request auf den temporären Certbot Webserver offenhalten und gut ists.

Ich fahre dieses Setup jetzt schon seit Jahren - geräuchlos.

Ja, ist auch Aufwand, aber erscheint mir stimmiger als ständig an der Firewall rumzufummeln.

[EDIT]: Sorry, du hast HTTP-Requests ja auch als geblockt erwähnt. My bad. Dann vergiss meine Ausführungen. Aber: ich habe mit einer Menge Server mit ordentlich Traffic zu tun. HTTP-Blocks kommen vor, sind aber selten nötig - und bei Bedarf selektiv völlig ausreichend.