iptables позволяют только определенный IP от определенного порта

Это не отвечает на ваш вопрос - другие хорошо с этим справляются, - но он решает другую вашу проблему: блокировку доступа к удаленному серверу. Каждый раз, когда я делаю большое изменение iptables в системе, я всегда проверяю, что atd работает, а затем помещаю задание в примерно на 10 минут в в будущем, чтобы отключить брандмауэр, что-то вроде

at now + 10 minutes
at> service iptables stop
at> ^D

Таким образом я знаю, что если я действительно запутаюсь и заблокируюсь, через десять минут я смогу вернуться и все исправить. Если я закончу свою работу и не ошибусь, я могу найти эту работу с помощью atq и удалить ее с помощью atrm еще до того, как она запустится.

Он должен работать, но его можно улучшить. Вы не опубликовали свою политику INPUT по умолчанию. Если это ACCEPT, то ваши команды должны работать, хотя и не самая рекомендуемая. Если это DROP, то вам не нужна строка перед iptables-save .

Наиболее рекомендуемая политика для iptables, как и для любого другого брандмауэра, - УДАЛИТЬ ВСЕ, а затем явно разрешить порты / протоколы, которые вы хотите разрешить. Итак, вы начинаете с этого -

iptables -A INPUT -j DROP

Затем вы явно разрешаете входящий трафик, предназначенный для порта 123 / tcp

iptables -A INPUT -p tcp --dport 123 -s 1.2.3.4 -j ACCEPT

iptables -A INPUT -p tcp --dport 123 -s 5.6.7.8 -j ACCEPT

В пакете debian iptables есть '/ usr / sbin / iptables-apply', который спрашивает вас, все ли в порядке после применения изменений, если вы не ответите на вопрос, изменения будут отменены.