Suas regras sugeridas devem funcionar, mas pode haver casos em que um DROP em uma cadeia não seja a ação correta.
Por exemplo, se você quisesse alguma regra posterior INPUT
chain para permitir acesso ftp a algum destino específico para todos os hosts em sua rede.
Nesse caso, RETURN
pode ser uma escolha melhor. Supondo que a política da sua cadeia INPUT seja DROP
, isso provavelmente também teria os mesmos resultados.
iptables -A IP1 -p tcp --dport 20 -j RETURN
iptables -A IP1 -p tcp --dport 21 -j RETURN
iptables -A IP1 -j ACCEPT