O trabalho será mais fácil se suas câmeras estiverem em uma sub-rede padrão. Então você pode mencionar a sub-rede em cada regra mencionada abaixo. Caso contrário, é melhor você ver este post ou semelhante.
Depois de lidar com o modo de especificar a faixa de câmeras IP, você pode facilmente descartar todos os pacotes iniciados por suas câmeras (supondo que sejam conexões tcp) usando a opção --syn. Este é um exemplo assumindo que todas as câmeras (< = 8 câmeras e nenhum outro sistema) estão em uma sub-rede de 192.168.1.0/29
#1 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2 iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4 iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP
Adicione # 2 somente se o NAT não for feito na caixa do Linux.
Para publicar cames:
iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123
mas deixe apenas esses endereços IP específicos acessá-los:
iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP
É claro que se os endereços das câmeras não estiverem bem em uma sub-rede, você terá que trocar 192.168.1.0/29 pwith endereço IP da câmera e repetir a regra para cada um.