testa assim:
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d [ip_destino]
Versão Imprimível
Opa,
amigo eu estou usando esta regra, mas não está rolando
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d destino -s origem
link ip válido 1.1.1.0/24 entra pela eth0 (router 1.1.1.1) e sae em subnets para eth1 e eth2. Temos servers nas duas eths,
vamos supor a rede 1.1.1.16/28 cadastrada no router com o gateway 1.1.1.30. tenho um server atrás da eth1 do router com ip 1.1.1.17.
Dae um user externo com ip 200.200.200.200 tenta um ssh para a o server 1.1.1.17 ele passa por:
200.200.200.200-internet-1.1.1.1-1.1.1.17
Em resumo, tudo chega passa pelo 1.1.1.1
no router eu add a regra:
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s 1.1.1.58 -d 1.1.1.17
o ip 1.1.1.58 está em uma subnet da eth2 e o 1.1.1.17 numa subnet da eth1. mas passa pelo router, mas não rola!
Para acessar o ip 1.1.1.17 externamente voce tem que ter um redir no seu router 1.1.1.1 para 1.1.1.17, correto!! Voce tem que colocar a regra para bloquear o acesso externo no seu router e pronto assim:
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s [ip_origem] "o ip de origem não vai acessar nada na porta 22 depois do seu router."
Mas se voce quer bloquear o acesso da maquina 1.1.1.58 para 1.1.1.17, preste atenção, não vai adiantar colocar esta regra no router, as duas maquinas estão na mesma rede, mesmo range de ip's não preciso do router para comunicar uma com a outra, então coloque esta regra na maquina de destino:
Maquina 1.1.1.17
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s 1.1.1.58
Tem que funcionar.