Shorewall: временно отбрасывать входящий трафик кроме порта 22?

Я предполагаю, что "Интернет" - это НЕТ, а ваши внутренние машины - ЛОК. Изменения в соответствии с вашими потребностями.

Вы говорите порт 22 и говорите о почте. Я предполагаю, что вы хотите отбросить весь трафик и разрешить только трафик SSH. Не разрешить весь почтовый трафик?

Используйте DNAT для пересылки трафика в файле правил.

DNAT       net         loc:192.168.0.3:22              tcp     22

Это перенаправляет трафик на порт 22 (обычно SSH) на брандмауэре ($FW) на внутренний ip 192.168.0.3

Если вы хотите удалить весь трафик, сделайте это в файле правил shorewall (порядок правил важен):

ACCEPT        net          loc:mailserver_ip               tcp    22
REJECT        net          loc:mailserver_ip

Конечно, вам нужно обменять mailserver_ip на правильный IP. Во-вторых, если почтовый сервер расположен на том же сервере, что и shorewall. Вы должны обозначить это с помощью $ FW вместо loc:mailserver_ip

Я делаю то же самое с моим брандмауэром Watchguard, как предложил Пьер: я храню 2 файла конфигурации, один - мой рабочий файл конфигурации, а другой блокирует все входящие сервисы, кроме тех, которые я хочу продолжить, пока я выполняю обслуживание. Когда у меня запланировано обслуживание, я просто загружаю конфигурацию обслуживания, а когда я заканчиваю, я загружаю производственную конфигурацию.