Упрощение набора правил iptables

Я хотел бы упростить текущий набор правил IPTABLES для моего почтового сервера. Я использую IPSET для создания обширного списка IP-адресов для блокировки, а затем ссылаюсь на этот список в iptables. Однако в моем случае есть только 5 подсетей, которым необходимо взаимодействовать с почтовым сервером, поэтому я подумал, что может быть проще заблокировать весь доступ, а затем явно разрешить только те подсети, которые необходимы. Предположим, что 5 подсетей: 1.1.1.0/24, 2.2.2.0/24, 3.3.3.0/24, 4.4.4.0/24 и 5.5.50/24. Я не беспокоюсь о привязке трафика к определенным портам, потому что я контролирую устройства в этих подсетях. Кто-нибудь может предложить базовую конфигурацию iptables для этого?

Спасибо, Кевин

Большое спасибо за ответ. На самом деле я бы предпочел НЕ использовать ipset, чтобы я мог максимально упростить конфигурацию. Например, будет ли работать следующее?

-A ВВОД -s 1.1.1.0/24 -j ПРИНЯТЬ

-A ВВОД -s 2.2.2.0/24 -j ПРИНЯТЬ

-A ВВОД -s 3.3.3.0/24 -j ПРИНЯТЬ

-A ВВОД -s 4.4.4.0/24 -j ПРИНЯТЬ

-A ВВОД -s 5.5.5.0/24 -j ПРИНЯТЬ

-A ВВОД -j DROP

Я извиняюсь за, возможно, очень простой вопрос, но это живой сервер, и я хочу быть очень осторожным.

Спасибо, Кевин

Это должно выглядеть примерно так. Я назвал ваши 5 подсетей Subnet-X.X.X.X.

-A INPUT -m set --match-set Subnet-1.1.1.1 src -j Accept
-A INPUT -m set --match-set Subnet-2.2.2.2 src -j Accept
-A INPUT -m set --match-set Subnet-3.3.3.3 src -j Accept
-A INPUT -m set --match-set Subnet-4.4.4.4 src -j Accept
-A INPUT -m set --match-set Subnet-5.5.5.5 src -j Accept
-A ВВОД -j DROP

Убедитесь, что ваш исходный IP-адрес включен в любую из этих подсетей, иначе ваш пакет будет удален. или вы можете добавить другое правило и, если ваш IP-адрес статичен, сделать ваш IP-адрес определенным как ПРИНЯТЫЙ источник.

Также убедитесь, что у вас есть доступ к консоли, на случай, если что-то пойдет не так, чтобы сбросить правила iptables.