Filtragem de Iptables e NAT com endereço IP secundário

Eu tenho dois endereços IP na minha interface eth física. Vamos dizer 192.168.10.7 (eth0: 0) e 192.168.0.7 (eth0). Então funciona. Mas eu uso o aplicativo, trabalhando no único desses endereços na porta 12000. Ele é configurado neste aplicativo internamente para funcionar no endereço 192.168.0.7. Eu configurei o aplicativo para trabalhar no endereço 192.168.10.7 também, usando o iptables, de tal maneira:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -d 192.168.10.7 --dport 12000 -j DNAT --to 192.168.0.7:12000

Agora eu quero bloquear todo o tráfego de entrada para o endereço IP 192.168.10.7 (interface eth0: 0), exceto a porta 12000. Todo o tráfego restante deve permanecer inalterado. Eu não sou especialista em iptables. Alguém pode me ajudar?

supondo que a regra do iptables funcione na mesma máquina com o seu aplicativo, você tem que definir uma regra para aceitar o pacote de entrada e saída para o endereço e a porta do aplicativo, então simplesmente solte tudo, parece que:

iptables -A ENTRADA -p tcp -d 192.168.10.7 --dportar 12000 -j ACEITAR
iptables -A OUTPUT -p tcp -s 192.168.10.7 --sport 12000 -j ACEITAR

iptables -A INPUT -j DROP
iptables -A OUTPUT - j DROP