Есть такие статьи как этот которые предлагают что-то вроде этих правил iptables, чтобы заблокировать слишком много SSH-соединений, сделанных за короткое время:
-I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
-I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Согласно статье, «[эти правила] заблокируют IP, если он пытается более 3 новых подключений в минуту к SSH».
Если цепочка INPUT iptables настроена на политику DROP по умолчанию, будет ли следующее правило работать так же, как показанные ранее?
-I INPUT -p tcp --dport 22 -i eth0 -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 1 -j ACCEPT
Модуль iptables: limit и recent может быть эквивалентным в некоторых случаях, включая случай, который у вас есть под рукой.
Вот похожий пост на serverfault.