Você pode adicionar uma correspondência para cada IP de origem específico com o sinal -s
e, em seguida, proibir todos os outros (se não houver uma regra mais recente para fazer o último bit para você):
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.1 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.2 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -j REJECT
Se os IPs que você deseja permitir puderem ser agrupados por uma sub-rede, você poderá simplificar um pouco as regras. Por exemplo, se você quisesse permitir 1.1.1.2 e 1.1.1.3, você poderia usar
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.2/31 -j ACCEPT
novamente seguindo-o com um cobertor REJECT
, se necessário.