Разрешить только SYN-пакеты на порт 80, соответствующий ipset

у меня есть ipsetпо имени allowList.

Я хочу разрешить каждое подключение к моей машине на каждом порту, кроме порта 80, для которого я хочу разрешить подключения только к ipset:allowList.

Я хочу настроить таргетинг только на SYNпакеты с порта 80 для эффективности , так что:

1. если флаг tcp =SYN
2. если порт80
3. если он соответствует ipset с именемallowList

Затем разрешите соединение, в противном случае отбросьте пакет (, если пакетSYN80и не соответствуетallowList).

Порядок важен для эффективности, потому что я не хочу фильтровать или замедлять установленное соединение.

Я пытаюсь написать для него правила iptables.