Iptables

если закрыть все и разрешить только ftp и rdp с одного адреса то это задача специально для ufw (надстройка над iptables). погуглите там дело 2-х минут самому сделать
а вот фильтра по мак адресу там походу нет =(

iptables -P INPUT DROP
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -s 192.168.0.1 -p tcp  --dport 20,21,3389 -j ALLOW

Как-то так

-A INPUT

У него же роутер, поэтому, наверное, надо FORWARD, чтобы внутрь пропускало. Хотя ТС толком не объяснил, чего он хочет.

Хм, может, ему тогда ещё перенаправление пакетов куда-то?

mycop, Объясни по-нормальному, что тебе нужно получить.

Есть терминальный сервер на win2003. На нём же запущен ftp.

какая-то собака пытается его сломать. Запросы на логин сыпятся раз в полторы секунды.

Сервером пользуется только одна фирма с одного IP адреса.

Также на него заходит их админ(1с), у которого динамический IP.

И фирма и админ находятся в другом государстве.

Хочется дать доступ только им, а остальным отрезать.

Для фирмы:

iptables -P FORWARD DROP
iptables -A -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s <IP-адрес фирмы> -p tcp -m multiport --dports 20,21,3389 -j ACCEPT

С динамическим IP сложнее. Если роутер и админ 1с в разных broadcast-доменах (что скорее всего), то его MAC ты не получишь никак

mycop

Запросы на логин сыпятся раз в полторы секунды

Можно ограничить кол-во попыток подключения при помощи connlimit (неоднократно было на LOR'е и в прочих интернетах)

Всем спасибо большое, буду пробовать.

Там же в вебморде можно, не.

ещё посмотри на fail2ban. Хорошая штука - позволяет банить тех, кто несколько раз некорректно ввёл пароль.