Закрытие порта для определенного IP

Это можно сделать как с помощью межсетевых экранов iptables/nftables (удобно, может сохраняться после перезагрузки), так и с помощью таблицы маршрутизации и ip route blackhole (менее удобно, не сохраняется после перезагрузки).

Так а проблема - в чём? Что вы попробовали сами сделать?

Раз создали тему - браузер сайты показывает, клавиатура работает. Вбивайте запрос в ддг/гугл, ищите, и обрящите! Вопросы нубские.

iptables умеет делать это для входящего трафика? -m owner работает, как я понимаю, только для исходящего.

Все верно и в целом логично. Так как с входящим вы должны заведомо разобраться с вашими принимающими демонами.

Логично, но если встаёт задача запретить пользователю принимать пакеты от определённого ip-адреса, мне не приходит в голову никакого прямого решения без namespaces и т.п.

А теперь подумайте. Хорошо, пакет прилетел, ответ будет? Нет. И начнем сначала, пользователь должен отправить пакет, но вот незадача это заблокировано. Т.е. даже говорить о прилетевшем нечего, т.к. пакет не улетел. В любом случае DROP на OUTPUT/POSTROUTING рабочий вариант. Какой смысл ещё и про INPUT/PREROUTING думать? Мы же не можем контролировать все что к нам прилетает (привет ddos).

Да, логично. Понятно, почему это не нужно.

У меня нет такой задачи сейчас, я мимо проходил, просто стало интересно, что действительно, прямого однозначного решения, которое явно ограничивало бы пользователя в приёме пакетов с определённых IP, нет.

Так-то с помощью ip rule можно для пользователя сделать свою таблицу маршрутизации, где тупо не будет доступа в определённые сети (но это тоже только для отправляемого трафика).

iptables -I INPUT 1 -p tcp -s айпи-адрес –dport номер-порта -j DROP