iptables防止ssh 暴力破解

最近在IBM 免費(fèi)提供的Bluemix虛擬機(jī)上玩shadowsocks代理，查看日志的時(shí)候無(wú)意間發(fā)現(xiàn)很多壞蛋在暴力破解我的ssh，真是用心良苦，俺可是用的key來(lái)登錄哦，那我也要阻止一下這種行為，一開始是單個(gè)ip的reject，后來(lái)grep了一下日志，發(fā)現(xiàn)有很多壞蛋都在搞破壞，就找到如下語(yǔ)句來(lái)阻止。

[root@/var/log/audit01:54]#grep fail /var/log/audit/audit.*|cut -d' ' -f11|cut -d'=' -f2|sort |uniq -c|sort -n -k1  -r
  14634 58.218.211.38
  10228 ?
   7621 "/usr/sbin/sshd"
   2055 222.186.56.5
   1423 59.45.79.51
    467 59.45.79.36
    426 94.182.163.75
    348 41.215.4.70
    332 222.186.52.158
    312 218.65.30.92
    183 103.31.80.226
    182 5.10.78.52
    174 mail.nairobiwater.co.ke
    156 91.201.236.114
    124 5.10.78.54
     99 195.225.58.153
     93 61.132.52.22
     91 34.4e.0a05.ip4.static.sl-reverse.com
     63 218.26.243.138
     62 36.4e.0a05.ip4.static.sl-reverse.com
     54 115.92.27.100
     46 jsjty.com
     45 45.64.97.51
     22 201.238.210.145
     21 213.136.91.9
     18 193.169.86.77
     15 62.212.73.196
     12 112.74.35.46
     12 109.169.48.140
     
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

第一句是說(shuō)，對(duì)于外來(lái)數(shù)據(jù)，如果是 TCP 協(xié)議，目標(biāo)端口號(hào)是 22，網(wǎng)絡(luò)接口是 eth0，狀態(tài)是新連接，那么把它加到最近列表中。 

第二句是說(shuō)，對(duì)于這樣的連接，如果在最近列表中，并且在 60 秒內(nèi)達(dá)到或者超過四次，那么丟棄該數(shù)據(jù)。其中的-m是模塊的意思。 也就是說(shuō)，如果有人從一個(gè) IP 一分鐘內(nèi)連接嘗試四次 ssh 登錄的話，那么它就會(huì)被加入黑名單，后續(xù)連接將會(huì)被丟棄。