iptables防止ssh 暴力破解

最近在IBM 免費提供的Bluemix虛擬機上玩shadowsocks代理，查看日志的時候無意間發現很多壞蛋在暴力破解我的ssh，真是用心良苦，俺可是用的key來登錄哦，那我也要阻止一下這種行為，一開始是單個ip的reject，后來grep了一下日志，發現有很多壞蛋都在搞破壞，就找到如下語句來阻止。

[root@/var/log/audit01:54]#grep fail /var/log/audit/audit.*|cut -d' ' -f11|cut -d'=' -f2|sort |uniq -c|sort -n -k1  -r
  14634 58.218.211.38
  10228 ?
   7621 "/usr/sbin/sshd"
   2055 222.186.56.5
   1423 59.45.79.51
    467 59.45.79.36
    426 94.182.163.75
    348 41.215.4.70
    332 222.186.52.158
    312 218.65.30.92
    183 103.31.80.226
    182 5.10.78.52
    174 mail.nairobiwater.co.ke
    156 91.201.236.114
    124 5.10.78.54
     99 195.225.58.153
     93 61.132.52.22
     91 34.4e.0a05.ip4.static.sl-reverse.com
     63 218.26.243.138
     62 36.4e.0a05.ip4.static.sl-reverse.com
     54 115.92.27.100
     46 jsjty.com
     45 45.64.97.51
     22 201.238.210.145
     21 213.136.91.9
     18 193.169.86.77
     15 62.212.73.196
     12 112.74.35.46
     12 109.169.48.140
     
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

第一句是說，對于外來數據，如果是 TCP 協議，目標端口號是 22，網絡接口是 eth0，狀態是新連接，那么把它加到最近列表中。 

第二句是說，對于這樣的連接，如果在最近列表中，并且在 60 秒內達到或者超過四次，那么丟棄該數據。其中的-m是模塊的意思。 也就是說，如果有人從一個 IP 一分鐘內連接嘗試四次 ssh 登錄的話，那么它就會被加入黑名單，后續連接將會被丟棄。