IPTables to jedyne rozwiązanie do blokowania dowolnego adresu IP, który wykonał zbyt wiele połączeń lub ponownych połączeń

Rozwiązanie, które sugerujesz, spowolni prędkość nowych połączeń, ale źródło może powrócić po 180 sekundach, a nawet może stwierdzić, że co 60 sekund jest normalne. Jeśli chcesz, aby było ono blokowane przez co najmniej 30 minut, zgodnie z żądaniem (zaznacz również opcję --rcheck zamiast --update), musisz dodać źródło do innej listy ostatnich źródeł zamiast usuwać pakiety. Okazuje się, że:

iptables -N BANNING

iptables -A BANNING -m recent --set --name BANNED --rsourceiptables -A INPUT -m recent --name BANNED --update --seconds 1800 --reap -j DROP

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j BANNING

Dziękuję Zoredache za wskazanie mi linku. Po przeszukaniu sieci znalazłem podobne rozwiązanie na blogu technicznym Devona Hillarda.
Te dwie proste zasady działają.

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsourceiptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP

Źródło:

Używanie IPTables do zapobiegania atakom siłowym SSH
http://www.digitalsanctuary.co ... .html