Спасибо. Разобрался уже.
Основа - https://help.ubuntu.ru/wiki/iptables
Для моей задачи /etc/network/if-up.d/iptables-rules пока получился такой:#!/sbin/iptables-restore
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
# RTMP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 1935 -j ACCEPT
# HTTP 8000
-A INPUT -p tcp --syn --dport 8000 -m connlimit --connlimit-above 2 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
COMMIT
Все работает, после перезагрузки все сохраняется. Добавить блокировку по IP источника и запретить все остальное уже дело техники.
Тему можно закрыть.