Iptables — это межсетевой экран для операционных систем Linux, позволяющий управлять потоком трафика. При попытке установить соединение с сервером (или при отправке запроса с сервера) Iptables проверяет цепочку правил для конкретного соединения и реализует заданные настройки.
Iptables предустановлен во всех современных дистрибутивах Linux.

При работе в сети передачи данных, такой как локальная вычислительная сеть (ЛВС) или Интернет, часто возникает необходимость ограничить доступ от конкретного узла к другому узлу сети или от конкретного узла ко всем компьютерам, находящимся под его управлением. Это часто бывает необходимо. Каждый компьютер, использующий для связи IPv4 или IPv6, имеет уникальный номер в определенном диапазоне.

Этот номер называется IP-адресом. Рассмотрим как заблокировать IP-адреса IPv4 и ограничить доступ хостов с этим идентификатором к определенным компьютерам, для которых настроены правила межсетевого экрана Netfilter с помощью пакета iptables.

Как блокировать определенные IP-адреса.

Для блокирования IP-адресов используются действия DROP и REJECT. Рассмотрим общий синтаксис действия block.

sudo iptables -t (таблица) -A (цепочка) -s (IP адрес/маска) -d (IP адрес/маска) -j (действие)

Параметры утилиты.

-s [IP-адрес/маска] — IP-адрес отправителя пакета, к которому необходимо применить обработку;

-d [IP-адрес/маска] — IP-адрес получателя пакета, к которому необходимо применить обработку;

Чтобы запретить ip адрес  или подсеть, iptables блокирует все входящие на защищаемую машину пакеты от узла, с IP адресом 5.5.5.5 или подсети 5.5.5.0/24  Стоит заметить, что узел источник пакетов при использовании действия DROP не получит никакой ответной информации от защищаемого узла. Для него всё будет выглядеть так, как будто данный узел в данный момент отсутствует в сети.

Заблокировать ip адрес через iptables:

iptables -A INPUT -s 5.5.5.5 -j DROP

Заблокировать подсеть адрес через iptables:

iptables -A INPUT -s 5.5.5.0/24 -j DROP

Заблокировать все IP-адреса, кроме указанного:

Будьте внимательны, можно заблокировать доступ себе на сервер через ssh, та как будут заблокированы все ip адреса кроме указанного.

iptables -A INPUT -s 5.5.5.5 -j ACCEPT

iptables -P INPUT DROP

Разрешение IP-адресов с помощью iptables:

Разрешение IP-адресов происходит очень похоже.
Разрешите входящий трафик от устройства с IP-адресом 5.5.5.5:

iptables -A INPUT -s 5.5.5.5 -j ACCEPT

Разрешаем всю подсеть 5.5.5.0/24:

iptables -A INPUT -s 5.5.5.0/24 -j ACCEPT

Разрешаем весь входящий трафик, кроме трафика с узла с IP-адресом 5.5.5.5:

iptables -A INPUT -s 5.5.5.5 -j DROP

iptables -P INPUT ACCEPT

То же самое и для исходящего и транзитного трафиков:

Разрешаем исходящий трафик узла с IP-адресом 5.5.5.5:

iptables -A OUTPUT -s 5.5.5.5 -j ACCEPT

Разрешаем транзитный трафик для всех, кроме 5.5.5.5:

iptables -A FORWARD -s 5.5.5.5 -j DROP

iptables -P FORWARD ACCEPT

Таким образом, разрешить или заблокировать трафик с определенного устройства или подсети с помощью iptables не составляет особого труда.

Есть два правила — одно, DROP, заставит удаленную машину думать, что наш узел в данный момент вообще отсутствует в сети, а другое, REJECT, позволит удаленному узлу понять, что пакет был отброшен из-за правил межсетевого экрана.