シンプルに特定のipとの in と out を許可するものでも大丈夫です。
INPUTのデフォルトポリシーをDROPにして個別に開けていくのが簡単かと思います。
*filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # loと送信とICMP(ping等)は全て許可 -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT # ローカルIPからの通信は全て許可 -A INPUT -s 10.0.0.0/8 -j ACCEPT -A INPUT -s 172.16.0.0/12 -j ACCEPT -A INPUT -s 192.168.0.0/16 -j ACCEPT # 特定のIPとポートの着信を個別に許可 -A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -s 123.4.5.6 -m tcp -p tcp --dport 3306 -j ACCEPT