iptables -A INPUT -p tcp --dport {номер_порта} -j DROP — запретить полностью порт
iptables -A INPUT -s 127.0.0.0/8 -p tcp -m tcp --dport {номер_порта} -j ACCEPT — разрешить порт для локальных служб, используется с запретом порта на внешку, но это разрешение должно быть выше в правилах, чем запрет этого же порта
iptables --line-numbers -L -v -n — показывает правила с нумерацией строк, там же показываются счетчики что правило работает и что то фильтрует
iptables -D INPUT {номер_строки} — удаляет правило для указанной строки, если вдруг что то лишнее прописалось или не в том порядке
sudo iptables-save — обязательно сохранить после любых манипуляций P.S.: iptables работает по принципу, запрещаем все или что то, если не разрешено, поэтому сначала разрешения, а потом запреты, поэтому если разрешить порт, а потом его закрыть следом, то он будет разрешен, даже несмотря на запрет