iptables -A INPUT -s 213.200.0.0/16 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 83.143.233.190 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Выполняете, проверяете, что ничего не отвалилось. Выполняете iptables-save, вам в ответ выплюнут файл, который нужно записать в /etc/iptables/rules.v4
Не забудьте про ipv6 - это отдельный протокол, у него отдельный firewall, по сути. Если не хотите никого пускать по ssh по ipv6, то:
ip6tables -A INPUT -p tcp --dport -22 -j DROP
ip6tables-save > /etc/iptables/rules.v6
Правила читать примерно так ( на примере iptables -A INPUT -s 213.200.0.0/16 -p tcp --dport 22 -j ACCEPT)
В цепочку INPUT (входящий трафик) добавь в конец списка правил (-A, -I - в начало списка) правило для трафика с источниками, находящимися в подсети 213.200.0.0/16, по протоколу tcp (есть udp ещё, icmp), для порта назначения 22 правило, разрешающее трафик, попадающий в эти условия.
iptables -A INPUT -p tcp --dport 22 -j DROP = запрети весь входящий трафик по tcp на порт 22.
Правило читаются по очереди, до первого совпавшего (ну настолько простые правила, вообще логика там достаточно замысловатая).